Критическая уязвимость в кодеке JPEG 2000, который был реализован в библиотеке OpenJPEG, обнаружена исследователями из Cisco Talos. Используя данную ошибку, злоумышленник может выполнять произвольный код на взломанной системе.
Причиной существования данной уязвимости является выход за границы буфера в процессе разбора записей mcc. Она дает злоумышленнику возможность выполнять произвольный код в ходе обработки сформированного специальным образом изображения в формате JPEG 2000 в приложениях, которые применяют для обработки картинок функционал OpenJPEG.
Ошибка присутствует в версии OpenJPEG openjp2 2.1.1, а именно в таких библиотеках, как MuPDF, Pdfium и Poppler, которые применяют OpenJPEG для того, чтобы декодировать изображения, встроенные в PDF-файлы. Уязвимость была ликвидирована в версии OpenJPEG 2.1.2.