0.6.1
CVE-2021-22563 beschrijft een out-of-bounds read kwetsbaarheid in de libjxl bibliotheek, specifiek bij het verwerken van JPEG XL afbeeldingen. Deze kwetsbaarheid kan leiden tot een segfault of, erger, het renderen van data uit het geheugen van andere processen, wat mogelijk tot code-uitvoering kan leiden. De kwetsbaarheid treft versies van libjxl tot en met 0.6.0. Een patch is beschikbaar via de GitHub repository van libjxl.
Een succesvolle exploitatie van CVE-2021-22563 kan een aanvaller in staat stellen om een denial-of-service aan te vallen door de applicatie die libjxl gebruikt te laten crashen. Er is een groter risico dat een aanvaller in staat is om data uit het geheugen van andere processen te lezen, wat kan leiden tot gevoelige informatie blootstelling of zelfs code-uitvoering. De ernst van de impact hangt af van de context waarin libjxl wordt gebruikt en de privileges van de applicatie. Het is vergelijkbaar met andere out-of-bounds read kwetsbaarheden die in beeldverwerkingsbibliotheken zijn aangetroffen, waar onvoldoende validatie van input data kan leiden tot onverwacht gedrag.
Op dit moment is er geen publieke exploitatie van CVE-2021-22563 bekend. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de aandacht erop vestigt. Er zijn geen actieve campagnes bekend die deze kwetsbaarheid uitbuiten. Er is een public proof-of-concept beschikbaar, wat de mogelijkheid van toekomstige exploitatie vergroot.
Applications and systems that utilize libjxl for JPEG XL image decoding are at risk. This includes image processing software, media players, and web applications that handle JPEG XL images. Specifically, systems relying on older, unpatched versions of libjxl (≤0.6.0) are particularly vulnerable.
• c/linux: Use lsof or ps to identify processes using libjxl. Monitor these processes for unexpected crashes or memory access errors. Review system logs for any errors related to libjxl or image decoding.
lsof | grep libjxl
ps aux | grep libjxl• c/windows: Use Process Explorer to identify processes using libjxl. Monitor these processes for crashes or memory access violations. Examine Windows Event Logs for application errors related to libjxl. • generic web: If libjxl is used in a web application, monitor web server error logs for any errors related to image processing or decoding. Inspect HTTP requests for unusual JPEG XL image content.
disclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-22563 is het upgraden van libjxl naar een versie boven 0.6.0. Als een upgrade momenteel niet mogelijk is, kan de aangeboden patch van de GitHub repository (https://github.com/libjxl/libjxl/pull/757) worden toegepast. Het is belangrijk om de input validatie te verbeteren in de applicatie die libjxl gebruikt, om te voorkomen dat ongeldige JPEG XL afbeeldingen worden verwerkt. Overweeg het gebruik van een WAF (Web Application Firewall) om kwaadaardige afbeeldingen te detecteren en te blokkeren voordat ze de applicatie bereiken. Na de upgrade, controleer de functionaliteit van de beeldverwerking om te bevestigen dat de kwetsbaarheid is verholpen.
Actualiseer de libjxl bibliotheek naar een versie later dan 0.6.0 of pas de patch toe die wordt aangeboden op https://github.com/libjxl/libjxl/pull/757 om de out of bounds read kwetsbaarheid te corrigeren bij het verwerken van ongeldige JPEG XL afbeeldingen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-22563 is a medium severity vulnerability in libjxl versions up to 0.6.0 that allows malicious JPEG XL images to trigger an out-of-bounds read, potentially leading to crashes or code execution.
You are affected if your system uses libjxl version 0.6.0 or earlier. Check your libjxl version and upgrade if necessary.
Upgrade libjxl to a version greater than 0.6.0. Alternatively, apply the patch available on the libjxl GitHub repository: https://github.com/libjxl/libjxl/pull/757.
There is currently no evidence of active exploitation of CVE-2021-22563.
Refer to the libjxl GitHub repository for information and updates: https://github.com/libjxl/libjxl
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.