В низкоуровневой библиотеке графики Pixman обнаружена опасная уязвимость

Уязвимость обнаружена в используемой многими открытыми проектами низкоуровневой библиотеке отрисовки графики Pixman обнаружена исследователями информационной безопасности. 4 ноября описание проблемы опубликовано в системе отслеживания ошибок компании Red Hat (IBM).

Уязвимость получила код CVE-2022-44638. Она относится к типу переполнение буфера и теоретически может быть использована для выполнения произвольного кода атакующего.

Проблема связана с возможностью переполнения буфера во время обработки пиксельных данных. При определенных параметрах такая операция приводит к переполнению целочисленного буфера.

Исследователи опубликовали сценарий автоматизации эксплуатации уязвимости (эксплойт), который позволяет произвести управляемую запись данных за границу буфера. Это может быть использовано для исполнения произвольного кода злоумышленника.

Проблема исправлена в корректирующей версии Pixman 0.42.2.