CVE-2021-22563は、JPEG XL画像処理ライブラリlibjxlのバージョン0.6.0以前に存在する脆弱性です。不正なJPEG XL画像が原因で、スプラインレンダリング処理中にメモリ破壊が発生し、システムがクラッシュする可能性があります。この脆弱性は、攻撃者が他のプロセスメモリを読み取ることができるため、機密情報の漏洩や悪意のあるコードの実行につながる可能性があります。影響を受けるバージョンは0.6.0以前です。パッチ適用またはバージョンアップグレードにより修正可能です。
この脆弱性は、攻撃者が特別に細工されたJPEG XL画像をlibjxlに処理させることで悪用されます。脆弱性が悪用されると、攻撃者はstd::vector<std::vector<T>>への境界外アクセスを引き起こし、メモリ破壊を発生させることができます。これにより、システムがクラッシュするだけでなく、攻撃者は他のプロセスメモリの内容を読み取ったり、悪意のあるコードを実行したりする可能性があります。特に、libjxlを画像処理パイプラインに組み込んでいるアプリケーションは、この脆弱性の影響を受けやすいです。この脆弱性は、類似の画像処理ライブラリの脆弱性と同様に、機密情報の漏洩やシステムの制御喪失につながる可能性があります。
CVE-2021-22563は、CISAのKEVカタログにはまだ登録されていません。この脆弱性に対する公開されているPoCは確認されていませんが、libjxlの広範な使用状況を考慮すると、将来的に悪用される可能性があります。NVD(National Vulnerability Database)は2021年11月1日にこの脆弱性を公開しました。攻撃者による活発な悪用活動は、現時点では確認されていません。
Applications and systems that utilize libjxl for JPEG XL image decoding are at risk. This includes image processing software, media players, and web applications that handle JPEG XL images. Specifically, systems relying on older, unpatched versions of libjxl (≤0.6.0) are particularly vulnerable.
• c/linux: Use lsof or ps to identify processes using libjxl. Monitor these processes for unexpected crashes or memory access errors. Review system logs for any errors related to libjxl or image decoding.
lsof | grep libjxl
ps aux | grep libjxl• c/windows: Use Process Explorer to identify processes using libjxl. Monitor these processes for crashes or memory access violations. Examine Windows Event Logs for application errors related to libjxl. • generic web: If libjxl is used in a web application, monitor web server error logs for any errors related to image processing or decoding. Inspect HTTP requests for unusual JPEG XL image content.
disclosure
エクスプロイト状況
EPSS
0.04% (14% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、libjxlをバージョン0.6.0以降にアップグレードすることです。アップグレードが困難な場合は、libjxlのソースコードをパッチ適用することも可能です。パッチは、libjxlのGitHubリポジトリ(https://github.com/libjxl/libjxl/pull/757)で公開されています。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、不正なJPEG XL画像のアップロードをブロックすることも有効です。libjxlを使用するアプリケーションの入力検証を強化し、不正な画像形式の処理を防止することも重要です。アップグレード後、libjxlのバージョンを確認し、脆弱性が修正されていることを確認してください。
libjxlライブラリを0.6.0より後のバージョンにアップデートするか、https://github.com/libjxl/libjxl/pull/757で提供されているパッチを適用して、不正なJPEG XL画像を処理する際の境界外読み出しの脆弱性を修正してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2021-22563は、libjxlライブラリのバージョン0.6.0以前に存在する、不正なJPEG XL画像によるメモリ破壊脆弱性です。この脆弱性は、スプラインレンダリング時にstd::vector<std::vector<T>>への境界外アクセスを引き起こす可能性があります。
libjxlのバージョン0.6.0以前を使用している場合は、この脆弱性に影響を受けます。バージョン0.6.0以降にアップグレードするか、パッチを適用してください。
libjxlをバージョン0.6.0以降にアップグレードするか、libjxlのGitHubリポジトリで公開されているパッチを適用してください。
現時点では、CVE-2021-22563に対する活発な悪用活動は確認されていません。
libjxlのGitHubリポジトリ(https://github.com/libjxl/libjxl/pull/757)で関連情報を確認してください。