VU#481830: libheif 압축 해제 코덱, 경... 노트

VU#481830: libheif 압축 해제 코덱, 경계 검사 부재로 인한 애플리케이션 충돌

libheif의 압축되지 않은 디코더에 메모리 접근 범위를 벗어나는 문제로 인한 취약점이 존재합니다. 이 결함은 악의적으로 조작된 HEIF 이미지가 서비스 거부 상태를 유발하도록 합니다. 이 취약점은 처리 과정에서 메타데이터 값에 대한 부적절한 검증으로 인해 발생합니다. 구체적으로, 디코더는 내부 메타데이터 상자의 값을 제대로 확인하지 못합니다. 이로 인해 디코더가 입력 버퍼의 끝을 넘어 읽게 될 수 있습니다. 이는 이미지 디코딩 중에 세그멘테이션 오류를 발생시킬 수 있습니다. CVE-2025-65586으로 식별된 이 취약점은 libheif 버전 v1.19.0부터 1.21.1까지, 커밋 6190b58f에서 도입된 버전에 영향을 미칩니다. 영향은 서비스 거부로 제한되며, libheif를 사용하는 애플리케이션이 충돌하게 됩니다. 이 취약점은 AddressSanitizer를 사용한 퍼징을 통해 발견되었습니다. 해결책은 수정 사항이 포함된 libheif 버전 1.21.0 이상으로 업데이트하는 것입니다. 이 취약점은 Maor Caplan에 의해 보고되었고 Dirk Farin에 의해 수정되었습니다.