OpenEXR provides the specification and reference implementation of the EXR file format, an image storage format for the motion picture industry. From 3.1.0 to before 3.2.7, 3.3.9, and 3.4.9, internal_exr_undo_piz() advances the working wavelet pointer with signed 32-bit arithmetic. Because nx, ny, and wcount are int, a crafted EXR file can make this product overflow and wrap. The next channel then decodes from an incorrect address. The wavelet decode path operates in place, so this yields both out-of-bounds reads and out-of-bounds writes. This vulnerability is fixed in 3.2.7, 3.3.9, and 3.4.9.
OpenEXR versions 3.1.0 through 3.2.6, 3.3.8, and 3.4.8 contain a signed integer overflow vulnerability in the internal_exr_undo_piz() function that allows crafted EXR files to cause out-of-bounds reads and writes. This vulnerability affects image processing in motion picture and visual effects workflows commonly used in Saudi media and entertainment organizations.
تحتوي الدالة internal_exr_undo_piz() على ثغرة تجاوز عدد صحيح موقّع حيث يتم التعامل مع متغيرات nx و ny و wcount كأعداد صحيحة موقّعة. يمكن لملف EXR مصنوع بسوء أن يسبب تجاوز الذاكرة مما يؤدي إلى قراءة وكتابة خارج حدود الذاكرة المخصصة. هذا يمكن أن يؤدي إلى تعطل التطبيق أو تنفيذ كود عشوائي.
إصدارات OpenEXR من 3.1.0 إلى 3.2.6 و 3.3.8 و 3.4.8 تحتوي على ثغرة تجاوز عدد صحيح موقّع في دالة internal_exr_undo_piz() تسمح بملفات EXR المصنوعة بسوء بالقراءة والكتابة خارج الحدود. تؤثر هذه الثغرة على معالجة الصور في سير العمل السينمائي والمؤثرات البصرية المستخدمة بشكل شائع في منظمات الإعلام والترفيه السعودية.
Immediately upgrade OpenEXR to version 3.2.7, 3.3.9, or 3.4.9 or later depending on your current version. Validate and sanitize all EXR file inputs from untrusted sources. Implement file format validation before processing. Monitor systems for suspicious EXR file processing activities.
قم بترقية OpenEXR فوراً إلى الإصدار 3.2.7 أو 3.3.9 أو 3.4.9 أو أحدث حسب إصدارك الحالي. تحقق من صحة جميع مدخلات ملفات EXR من مصادر غير موثوقة. طبق التحقق من صيغة الملف قبل المعالجة. راقب الأنظمة للكشف عن أنشطة معالجة ملفات EXR المريبة.