Plataforma
c
Componente
libjxl
Corrigido em
0.6.1
A vulnerabilidade CVE-2021-22563 afeta a biblioteca libjxl, especificamente em versões anteriores ou iguais a 0.6.0. Imagens JPEG XL malformadas podem levar a um acesso fora dos limites (out-of-bounds access) em um std::vector<std::vector<T>> durante a renderização de splines. Isso pode resultar em falhas de segmentação (segfaults) ou, pior ainda, na renderização de splines baseadas em memória de outros processos, comprometendo a integridade do sistema.
Um atacante pode explorar essa vulnerabilidade enviando uma imagem JPEG XL especialmente criada para a aplicação que utiliza libjxl. O acesso fora dos limites pode permitir a leitura de dados arbitrários da memória, potencialmente revelando informações sensíveis, como chaves de criptografia ou dados de sessão. Em cenários mais graves, um atacante poderia manipular a renderização de splines para executar código arbitrário, assumindo o controle do sistema. A exploração bem-sucedida depende da capacidade do atacante de controlar o conteúdo da imagem JPEG XL e influenciar o processo de renderização.
A vulnerabilidade foi divulgada em 01 de novembro de 2021. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um patch público indica que a vulnerabilidade foi identificada e corrigida rapidamente. A ausência de um KEV listing sugere que a probabilidade de exploração generalizada é baixa, mas a possibilidade de exploração direcionada não pode ser descartada.
Applications and systems that utilize libjxl for JPEG XL image decoding are at risk. This includes image processing software, media players, and web applications that handle JPEG XL images. Specifically, systems relying on older, unpatched versions of libjxl (≤0.6.0) are particularly vulnerable.
• c/linux: Use lsof or ps to identify processes using libjxl. Monitor these processes for unexpected crashes or memory access errors. Review system logs for any errors related to libjxl or image decoding.
lsof | grep libjxl
ps aux | grep libjxl• c/windows: Use Process Explorer to identify processes using libjxl. Monitor these processes for crashes or memory access violations. Examine Windows Event Logs for application errors related to libjxl. • generic web: If libjxl is used in a web application, monitor web server error logs for any errors related to image processing or decoding. Inspect HTTP requests for unusual JPEG XL image content.
disclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
Vetor CVSS
A mitigação primária é atualizar a biblioteca libjxl para uma versão superior a 0.6.0, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere aplicar o patch fornecido em https://github.com/libjxl/libjxl/pull/757. Como medida temporária, a validação rigorosa das imagens JPEG XL antes de processá-las com libjxl pode ajudar a reduzir o risco. Implementar um sistema de sandboxing para a execução de código que processa imagens também pode limitar o impacto de uma possível exploração. Verifique, após a atualização, se a nova versão da libjxl processa as imagens corretamente e sem erros.
Atualize a biblioteca libjxl para uma versão posterior a 0.6.0 ou aplique o patch fornecido em https://github.com/libjxl/libjxl/pull/757 para corrigir a vulnerabilidade de leitura fora dos limites ao processar imagens JPEG XL inválidas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de acesso fora dos limites na biblioteca libjxl, que permite a leitura de memória ao processar imagens JPEG XL maliciosas, podendo levar a falhas ou execução de código.
Se você estiver utilizando uma versão da libjxl anterior ou igual a 0.6.0 e processar imagens JPEG XL, você está potencialmente afetado.
Atualize a biblioteca libjxl para uma versão superior a 0.6.0 ou aplique o patch disponível em https://github.com/libjxl/libjxl/pull/757.
Atualmente, não há evidências de exploração ativa em campanhas direcionadas, mas a possibilidade de exploração direcionada não pode ser descartada.
Consulte o repositório GitHub da libjxl em https://github.com/libjxl/libjxl para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.