Выпущенное на прошлой неделе обновление библиотеки OpenJPEG устраняет несколько уязвимостей. Среди них есть брешь, позволяющая выполнить произвольный код, используя специально созданные файлы-изображения.

OpenJPEG - библиотека с открытым исходным кодом, предназначенная для кодирования и декодирования изображений формата JPEG2000, который часто используется для встраивания изображений в PDF-документы. OpenJPEG используется популярными программами для просмотра PDF, например, встроенная в Google Chrome PDFium использует эту библиотеку.

Исследователи Cisco обнаружили, что уязвимость можно проэксплуатировать, если удастся заставить пользователя открыть специально созданное JPEG2000-изображение или PDF-документ, содержащий такое изображение.

В случае атаки, описанной экспертами, злоумышленник прикрепляет вредоносный файл к электронному письму или загружает на сервисы вроде Dropbox или Google Drive и затем дает пользователю ссылку на него.

Об этой уязвимости (CVE-2016-8332) разработчикам OpenJPEG было сообщено в конце июля. На прошлой неделе, с выходом версии 2.1.2, брешь была исправлена.