OpenImageIO is a toolset for reading, writing, and manipulating image files of any image file format relevant to VFX / animation. Prior to 3.0.18.0 and 3.1.13.0, a heap-based buffer overflow in the HEIF decoder of OpenImageIO allows out-of-bounds writes via crafted images due to a subimage metadata mismatch, leading to memory corruption and potential code execution. This vulnerability is fixed in 3.0.18.0 and 3.1.13.0.
OpenImageIO versions before 3.0.18.0 and 3.1.13.0 contain a heap-based buffer overflow in the HEIF decoder that allows remote code execution through crafted image files. The vulnerability stems from subimage metadata mismatches causing out-of-bounds memory writes.
تؤثر هذه الثغرة على أدوات معالجة الصور المستخدمة في صناعة الرسوم المتحركة والمؤثرات البصرية. يمكن لمهاجم إرسال ملف صورة HEIF معيب يحتوي على بيانات وصفية غير متطابقة لتجاوز حدود الذاكرة وتنفيذ كود تعسفي. قد يؤدي الاستغلال الناجح إلى السيطرة الكاملة على النظام المتأثر.
إصدارات OpenImageIO السابقة للإصدار 3.0.18.0 و 3.1.13.0 تحتوي على فيضان ذاكرة على الكومة في فك تشفير HEIF يسمح بتنفيذ كود بعيد عبر ملفات صور معيبة. يحدث الثغرة بسبب عدم تطابق بيانات الصور الفرعية مما يسبب كتابة خارج حدود الذاكرة.
Immediately upgrade OpenImageIO to version 3.0.18.0 or 3.1.13.0 or later. Implement input validation for HEIF image files and restrict file upload functionality to trusted sources. Monitor systems for suspicious image processing activities and apply network segmentation to limit exposure of VFX/animation workstations.
قم بترقية OpenImageIO فوراً إلى الإصدار 3.0.18.0 أو 3.1.13.0 أو أحدث. طبق التحقق من صحة المدخلات لملفات صور HEIF وقيد وظيفة تحميل الملفات للمصادر الموثوقة. راقب الأنظمة للأنشطة المريبة في معالجة الصور وطبق تقسيم الشبكة لتقليل تعرض محطات العمل الخاصة بـ VFX/الرسوم المتحركة.