CVE-2022-43597

OpenImageIO versão 2.4.4.2

Existem várias vulnerabilidades de corrupção de memória na funcionalidade de preenchimento de alinhamento do IFFOutput do projeto OpenImageIO. Um objeto ImageOutput especialmente criado pode levar à execução de código arbitrário. Um invasor pode fornecer uma entrada maliciosa para acionar essas vulnerabilidades. Essa vulnerabilidade surge quando m spec.format é TypeDesc::UINT8. O problema está relacionado a um estouro de buffer na memória, o que pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço usando um arquivo especialmente criado.

Para a versão 2.4.4.2 do OpenImageIO, considere desativar a funcionalidade de preenchimento de alinhamento do IFFOutput até que um patch esteja disponível. Restrinja o acesso ao m spec.format vulnerável quando ele estiver definido como TypeDesc::UINT8 para minimizar o risco de exploração. Evite usar a variável m spec.format com o valor TypeDesc::UINT8 no objeto ImageOutput afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.