← Voltar ao blog

Falhas Críticas no libheif Habilitam Ataques de DoS e Execução de Código

Patches de segurança do Ubuntu resolvem cinco vulnerabilidades na biblioteca de imagens libheif afetando Ubuntu 24.04 LTS e versões mais recentes. Atacantes poderiam explorar arquivos HEIF/AVIF malformados para disparar negação de serviço ou execução arbitrária de código.

TL;DR

  • Cinco CVEs corrigidas no libheif afetando Ubuntu 24.04 LTS, 25.10 e 26.04 LTS
  • Arquivos de sequência HEIF malformados podem disparar loops infinitos e esgotamento de recursos
  • Imagens HEIF/AVIF elaboradas podem habilitar execução arbitrária de código, não apenas DoS
  • Falhas na manipulação de imagem de máscara apresentam superfície de ataque adicional para exploração remota
  • Aplicação imediata de patches recomendada para sistemas processando arquivos de imagem não confiáveis

O Ubuntu lançou atualizações de segurança abordando cinco vulnerabilidades no libheif, uma biblioteca amplamente utilizada para codificação e decodificação de arquivos High Efficiency Image Format (HEIF) e AVIF. O pesquisador Elhanan Haenel descobriu múltiplas falhas que permitem atacantes criar arquivos de imagem maliciosos capazes de disparar condições de negação de serviço ou executar código arbitrário em sistemas afetados.

As vulnerabilidades abrangem múltiplas versões LTS e intermediárias do Ubuntu, com os problemas mais graves afetando pipelines de processamento de imagens em aplicações web, sistemas de gerenciamento de conteúdo e servidores de mídia. Organizações que dependem do libheif para manipulação de imagens devem priorizar a aplicação de patches para prevenir exploração remota através de uploads de imagens não confiáveis ou processamento.

Detalhes de Vulnerabilidades e Vetores de Ataque

  • CVE-2026-32738 e CVE-2026-32739 envolvem arquivos de sequência HEIF malformados causando negação de serviço através de esgotamento de recursos e loops infinitos
  • CVE-2026-32740 afeta arquivos HEIF/AVIF elaborados com potencial para execução arbitrária de código além de simples DoS
  • CVE-2026-32741 visa manipulação de imagem de máscara em arquivos HEIF, habilitando tanto DoS quanto execução de código no Ubuntu 24.04 LTS e versões mais recentes
  • A superfície de ataque inclui qualquer aplicação aceitando arquivos de imagem HEIF ou AVIF fornecidos pelo usuário sem validação rigorosa

Sistemas Afetados e Mitigação

  • Ubuntu 24.04 LTS, 25.10 e 26.04 LTS requerem atualizações de segurança imediatas
  • Aplicações web e serviços processando imagens de fontes não confiáveis enfrentam maior risco
  • Implemente validação de entrada e isolamento para operações de processamento de imagens
  • Aplique patches de segurança do Ubuntu USN-8454-1 imediatamente em toda a infraestrutura afetada
  • Considere restringir suporte a HEIF/AVIF se não for essencial à funcionalidade da aplicação

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Falhas Críticas no libheif Habilitam Ataques de DoS e Execução de Código — Agent Breach Blog | Agent Breach