В библиотеке OpenJPEG обнаружена критическая уязвимость

Исследователи команды Cisco Talos  обнаружили критическую уязвимость в кодеке JPEG 2000, реализованном в библиотеке OpenJPEG. Проэксплуатировав проблему, атакующий может выполнить произвольный код на скомпрометированной системе.

Уязвимость CVE-2016-8332 вызвана выходом за границы буфера при разборе записей mcc. Ошибка позволяет выполнить произвольный код при обработке специально сформированного изображения в формате JPEG 2000 в приложениях, использующих функции OpenJPEG для их обработки.

Уязвимость содержится в версии OpenJpeg openjp2 2.1.1 и затрагивает популярные библиотеки (включая Poppler, MuPDF и Pdfium) для чтения PDF-файлов, использующие OpenJPEG для декодирования встроенных в PDF-файлы изображений. Проблема исправлена в версии OpenJPEG 2.1.2.