CVE-2022-43599

OpenImageIO versão 2.4.4.2

Existem várias vulnerabilidades de execução de código na funcionalidade IFFOutput::close(). Um objeto ImageOutput especialmente criado pode levar a um estouro de buffer de heap. Um invasor pode fornecer entradas maliciosas para acionar essas vulnerabilidades. Esse problema ocorre quando a variável xmax é definida como 0xFFFF e m spec.format é TypeDesc::UINT8. A vulnerabilidade pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço usando um arquivo especialmente criado.

Para a versão 2.4.4.2 do OpenImageIO, como solução temporária, considere desativar a função IFFOutput::close() até que um patch esteja disponível. Restrinja o acesso ao componente IFFOutput para minimizar o risco de exploração. Evite usar a variável xmax com o valor 0xFFFF e m spec.format definido como TypeDesc::UINT8 na funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.