OpenJPEG Açığı Bulundu

Cisco Talos araştırmacıları OpenJPEG’te bulunan bir zero-day açığı keşfettiler. Bulunan açık saldırganların uzaktan kod çalıştırmalarına olanak sağlıyor.

openjpeg-image-logo

OpenJPEG JPEG 2000’i popülerleştirmek için C dili ile programlanmış bir JPEG 2000 codec’i. JPEG 2000 sıkça kullanılan bir görüntü sıkıştırma standardı.

Açık Cisco araştırmacıları tarafından Cuma günü duyuruldu. Daha sonra açıklanan verilere göre bulunan zero-day açığı JPEG 2000 görüntü dosya formatı çözümleyicisi (parser) içinde bulunuyor. Bahsi geçen parser OpenJPEG kütüphanesinde uygulanıyor. Bulunan açığa CVE-2016-8332 kodu verildi ve CVSS skoru 7.5 olarak belirlendi. Bulunan açık uzaktan kod çalıştırmaya yarıyor.

Açığın arkasındaki sebep JPEG 2000 dosyası içinde tutulan MCC kayıtlarının ayrıştırılması sırasında meydana gelen bir hatadan kaynaklanıyor. Cisco Talos’un araştırmacılarından Aleksander Nicolic bu açığı OpenJPEG’in 2.1.1 versiyonunda keşfetti.

Saldırganların bu açığı kullanabilmeleri için, saldırmak istedikleri bilgisayar kullanıcısının bilgisayarında zararlı yazılım içeren özel olarak tasarlanmış bir JPEG 2000 dosyası açması gerekiyor. Böyle zararlı yazılım içeren JPEG 2000 dosyaları e-posta ile veya Dropbox gibi bulut sistemleri aracılığıyla iletilebilir. Görüntü dosyası hedef bilgisayarda açıldıktan sonra, saldırgan uzaktan kod çalıştırarak bilgisayar üzerinde yetkiye sahip olabilir.

Daha fazla teknik bilgi ve tam Talos açık raporu için buraya tıklayın.

Kaynak: hackread.com