VU#481830: Кодек libheif без проверки границ приводит к сбою приложения
В декодере без сжатия libheif существует уязвимость из-за проблемы доступа к памяти вне границ. Этот дефект позволяет злонамеренно созданным изображениям HEIF вызывать состояние отказа в обслуживании. Уязвимость возникает из-за неадекватной проверки значений метаданных во время обработки. В частности, декодер не может правильно проверять значения из внутренних блоков метаданных. Это может привести к тому, что декодер будет читать за пределами входного буфера. Это может привести к ошибке сегментации во время декодирования изображения. Уязвимость, идентифицированная как CVE-2025-65586, затрагивает версии libheif с v1.19.0 по 1.21.1, представленные в коммите 6190b58f. Последствия ограничиваются отказом в обслуживании, вызывая сбой приложений, использующих libheif. Уязвимость была обнаружена путем фаззинга с помощью AddressSanitizer. Решение состоит в обновлении до версии libheif 1.21.0 или более поздней, которая включает исправление. Об уязвимости сообщил Маор Каплан, а исправление внес Дирк Фарин.