Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en nvJPEG2000 de NVIDIA

Fecha de publicación 12/02/2025
Identificador
INCIBE-2025-0081
Importancia
5 - Crítica
Recursos Afectados
  • NVIDIA nvJPEG2000, versiones 0.8.0 y anteriores.
Descripción

Dimitrios Tatsis ha reportado 4 vulnerabilidades de severidad crítica, que afectan a la librería nvJPEG2000, y cuya explotación podría permitir a un atacante provocar una corrupción de memoria, ejecutar código arbitrario, provocar una escritura fuera de los límites establecidos o realizar una sobreescritura de la memoria.

Solución

NVIDIA ha solucionado la vulnerabilidad reportada en las versiones 0.8.1 y posteriores.

Detalle
  • Vulnerabilidad de desbordamiento de búfer en la forma en que se utiliza el parámetro "Ndecomp" al analizar archivos JPEG2000, cuya explotación podría permitir a un atacante provocar una corrupción de memoria y ejecutar código arbitrario proporcionando archivos JPEG2000 especialmente diseñados. Se ha asignado el identificador CVE-2024-0145 para esta vulnerabilidad.
  • Vulnerabilidad de corrupción de memoria en el manejo de los componentes de estilo de codificación de la librería nvJPEG2000. Un archivo JPEG2000 especialmente diseñado podría dar lugar a una escritura fuera de los límites con datos arbitrarios, lo que provocaría una mayor corrupción de memoria y la ejecución de código arbitrario. Se ha asignado el identificador CVE-2024-0143 para esta vulnerabilidad.
  • Vulnerabilidad de corrupción de memoria en la funcionalidad de descodificación de imágenes de NVIDIA nvJPEG2000. Un archivo .jp2 especialmente diseñado puede provocar una escritura fuera de los límites. Se ha asignado el identificador CVE-2024-0142 para esta vulnerabilidad.
  • Vulnerabilidad de desbordamiento de búfer en el manejo del campo "Ndecomp" de NVIDIA nvJPEG2000. Un archivo JPEG2000 especialmente diseñado podría provocar la sobreescritura de la memoria, lo que daría lugar a una mayor corrupción de memoria y a la ejecución de código arbitrario. Se ha asignado el identificador CVE-2024-0144 para esta vulnerabilidad.
Listado de referencias
TALOS-2024-2113 - NVIDIA nvJPEG2000 Default Coding Styles Ndecomp buffer overflow vulnerability
TALOS-2024-2095 - NVIDIA nvJPEG2000 Coding Style Component index out-of-bounds write vulnerability
TALOS-2024-2080 - NVIDIA nvJPEG2000 cSIZ out-of-bounds write vulnerability
TALOS-2024-2108 - NVIDIA nvJPEG2000 Ndecomp heap-based buffer overflow vulnerability
Etiquetas