Sicherheitslücke in der JPEG 2000-Bibliothek Kakadu ermöglicht Remote Code Execution
Das Cloud Vulnerability Research (CVR)-Team von Google hat eine kritische Sicherheitslücke in der JPEG 2000-Bibliothek Kakadu entdeckt. Die Schwachstelle betrifft Speicherbeschädigungen und ermöglicht unter bestimmten Bedingungen die Ausführung von beliebigem Code (Remote Code Execution, RCE). Durch eine Technik namens “Conditional Corruption” war es dem CVR-Team möglich, speziell präparierte Bilder zu erstellen, die auf Servern mit der Kakadu-Bibliothek ausgeführt werden, um sensible Informationen zu exfiltrieren.
Betroffene Unternehmen, die die Kakadu-Bibliothek verwenden, sind aufgefordert, entsprechende Maßnahmen zur Sicherung ihrer Systeme zu ergreifen. Zu den betroffenen Diensten gehört unter anderem auch ein Google-Service.