OpenJPEG adalah JPEG 2000 codec, yang diprogram dalam bahasa C dan populer dengan nama JPEG 2000 oleh Joint Photographic Experts Group. JPEG 2000 adalah standar kompresi gambar, yang umumnya digunakan untuk berbagai gambar seperti embedding dalam file PDF. Software seperti Pdfium, Poppler dan MuPDF menggunakan JPEG 2000 codec.


Belum lama ini para peneliti Cisco mengungkapkan adanya kerentanan pada JPEG 2000 image file format parser yang diimplementasikan di OpenJPEG library. Cacat ini diberi kode CVE-2016-8332, dengan skor CVSS 7.5 dan dianggap sebagai out-of-bounds vulnerability. Kerentanan tersebut dapat mengakibatkan munculnya eksekusi kode berbahaya dan eksploitasi.

Penyebab di balik cacat ini adalah kesalahan dalam parsing MCC records yang disimpan dalam file JPEG 2000. Ini mengarah ke "read and write of adjacent heap area memory", seperti informasikan oleh peneliti Cisco Talos - Aleksander Nikolic yang menemukannya di dalam versi 2.1.1 dari OpenJPEG.

Jika kerentanan tersebut dimanfaatkan oleh penyerang, hal itu akan menyebabkan "metadata process memory corruption". Kerentanan ini dapat digunakan oleh penyerang hanya jika pengguna komputer membuka format gambar JPEG tersebut. Konten tersebut sering didistribusikan melalui email phishing dan bahkan host di platform otentik seperti Dropbox dan Google Drive. Begitu gambar berbahaya memasuki sistem, itu akan menciptakan jalan bagi penyerang untuk melakukan eksekusi jarak jauh.
 
Top