VU#936962: Несколько уязвимост... Заметка

VU#936962: Несколько уязвимостей при парсинге файлов в FastStone Image Viewer 8.3.0.0

В FastStone Image Viewer 8.3 выявлены две уязвимости. Эти недостатки могут позволить выполнить удаленный код или повредить поток управления. Проблемы затрагивают парсер JPEG 2000 (JP2) и парсер файлов PSD. Злоумышленники могут использовать эти уязвимости, обманув приложение и заставив его обработать вредоносные изображения. Переполнение буфера в куче в парсере JP2, CVE-2026-30040, может быть вызвано поврежденным маркером QCD. Это позволяет выполнить произвольный код, даже если пользователь не открывает файл напрямую, если он находится в диапазоне перечисления эскизов. Переполнение целого числа в парсере PSD, CVE-2026-30041, возникает из-за неправильной проверки высоты. Это может привести к переполнению буфера в куче, что позволяет выполнить код или привести к отказу в обслуживании. Использование этих уязвимостей может предоставить злоумышленникам возможность выполнить произвольный код в контексте пользователя. Тяжесть увеличивается с привилегиями пользователя. Патч еще не доступен, и разработчика не удалось достичь для координации. Пользователям рекомендуется запускать программное обеспечение с ограниченными учетными записями и блокировать загрузку файлов JP2 или PSD из недоверенных источников.