Hello, we are fossBytes.

fossBytesに10月4日(米国時間)に掲載された記事「Warning! Just Opening A JPEG 2000 Image File Can Get You Hacked」が、セキュリティ研究者らがJPEG 2000イメージファイルフォーマットにゼロデイの脆弱性を発見したと伝えた。細工されたJPEG 2000ファイルを読み込むと、隣接するヒープエリアへの書き込みが実施されて任意のコードが実行される危険性があり、注意が必要だという。

脆弱性が存在するとされているのはC言語で開発されたOpenJPEGライブラリ(OpenJPEG openjp2 2.1.1)。細工されたJPEGイメージファイルを読み込むだけで、任意のコードが実行される危険性があるため注意が必要。JPEG 2000はしばしばPDFデータに組み込む画像フォーマットとして使われているため、PDFファイルを開くことでもこのセキュリティ脆弱性を利用した攻撃を実施される危険性がある。

この脆弱性はマルウェアになっている実行ファイルをユーザーに実行させる手口よりも簡単にユーザーにダメージを与えることができる点で注意が必要。メールにJPEG 2000のイメージファイルを添付したり、データ共有サービス経由でPDFファイルの閲覧を促したりするだけで、ユーザーに影響を与えることができる。

すでにパッチが公開されているため、同ライブラリを利用しているアプリケーションなどは少しでも早く脆弱性が修正されたバージョンにアップグレードすることが推奨される。