Раскрыты сведения о двух уязвимостях в поставляемом в пакете FFmpeg декодировщике формата JPEG XL, которые могут привести к выполнению кода злоумышленника при обработке в FFmpeg специально оформленных изображений. Проблемы были устранены в выпуске FFmpeg 6.1, но так как поддержка JPEG XL включена начиная с ветки 6.1, уязвимость затрагивает только системы, использующие экспериментальные сборки FFmpeg 6.1 или переносящие из них изменения.
Первая уязвимость (CVE-2024-22860) вызвана целочисленным переполнением в парсере формата JPEG XL, возникшем из-за отсутствия проверки превышения размера типа int. Вторая уязвимость (CVE-2024-22862) возникла из-за целочисленного переполнения в функции jpegxl_anim_read_packet, используемой для декодирования анимации, и связана с использованием знакового типа int64_t вместо беззнакового uint64_t.
Проблемы специфичны для FFmpeg и не проявляются в эталонной реализации libjxl.