Múltiplas vulnerabilidades encontradas na biblioteca libheif
Várias falhas de alto risco na libheif podem permitir que atacantes provoquem negação de serviço ou acessem dados sensíveis. Esses problemas afetam o processamento e o gerenciamento de memória de imagens no Ubuntu 26.04 LTS.
TL;DR
- Seis vulnerabilidades descobertas na libheif, incluindo leituras fora dos limites e estouros de inteiros.
- Problemas afetam sistemas Ubuntu 26.04 LTS que utilizam funcionalidades de processamento de imagem HEIF.
- Atacantes podem explorar essas falhas para causar travamentos ou extrair informações sensíveis.
- As vulnerabilidades decorrem de validações inadequadas de entrada nos componentes de análise de imagem.
- Aplicação imediata de correções recomendada para sistemas que dependem da funcionalidade libheif.
Pesquisadores de segurança descobriram múltiplas vulnerabilidades na biblioteca libheif, utilizada para manipular arquivos HEIF (High Efficiency Image Format). Essas falhas variam desde leituras fora dos limites até estouros de inteiros, podendo ser exploradas por atacantes para comprometer a estabilidade do sistema ou acessar informações sensíveis.
Os sistemas afetados incluem principalmente implantações do Ubuntu 26.04 LTS onde a libheif é usada para tarefas de processamento de imagem. Dada a natureza dessas vulnerabilidades, organizações que utilizam essa biblioteca devem priorizar a aplicação das correções disponíveis para mitigar os riscos de exploração.
Detalhamento técnico das falhas
- Uma leitura fora dos limites existe no analisador de trilhas de sequência HEIF (CVE-2026-47254), podendo vazar memória do processo.
- Foi encontrada uma desreferência de ponteiro nulo na interface de divisão de imagem (CVE-2026-47709), que pode causar falhas no aplicativo.
- Um estouro de inteiro durante o cálculo do tamanho da máscara embutida (CVE-2026-47714) permite exaustão de recursos ou leitura excessiva de buffer.
- A transformação de coordenadas de blocos de imagem em grade sofre com subtração de inteiro (CVE-2026-48029), possibilitando ataques com imagens malformadas.
- Verificações ausentes de limites no analisador de sequência HEIF resultam em alocações ilimitadas de heap (CVE-2026-50142).
Impacto e etapas de mitigação
- A exploração pode levar à negação de serviço através de imagens HEIF especialmente criadas ou encerramento anormal de aplicações dependentes.
- Vazamento de dados sensíveis é possível por meio de leituras controladas em segmentos adjacentes de memória.
- Somente sistemas Ubuntu 26.04 LTS foram confirmados como vulneráveis até o momento.
- Os usuários devem atualizar seus pacotes libheif imediatamente usando os gerenciadores de pacotes padrão.
- Desenvolvedores que integram suporte HEIF devem auditar regularmente bibliotecas de terceiros em busca de correções upstream.
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.