OpenJpeg lukker alvorligt sikkerhedshul

Artiklen blev oprindeligt publiceret den 7/10/2016

Flere PDF-læsere kan være ramt af et sikkerhedshul i behandlingen af billedfiler i formatet JPEG2000. Udviklerne af OpenJpeg har lukket hullet.

JPEG2000 er et billedformat, der ofte bruges i PDF-dokumenter. En række PDF-programmer anvender biblioteket OpenJpeg til at vise JPEG2000-billeder med.

Sikkerhedsforskere fra Cisco Talos har opdaget en alvorlig sårbarhed i OpenJpeg. En angriber kan udnytte sårbarheden ved at udforme en fil i JPEG2000-format på en bestemt måde. Det kan føre til, at der kører skadelig programkode.

OpenJpeg anvendes blandt andet i Poppler, MuPDF og PDfium.

Fejlen er rettet i OpenJpeg 2.1.2.

Anbefaling
Opdater programmer, der anvender OpenJpeg.

Links

• Vulnerability Spotlight: OpenJPEG JPEG2000 mcc record Code Execution Vulnerability, Talos
• OpenJPEG JPEG2000 mcc record Code Execution Vulnerability, Talos
• OpenJPEG 2.1.2 released
• Let's not meet up with JPEG 2000 – researchers find security hole in image codec, artikel fra The Register