អ្នកស្រាវជ្រាវបានបញ្ចេញព័ត៌មានអំពីចំនុចខ្សោយថ្ងៃសូន្យ (zero-day vulnerability) នៅក្នុងប្រភេទឯកសារជារូបភាព JPEG 2000 image file ដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយនៅលើប្រព័ន្ធដែលរងគ្រោះ។
ចំនុចខ្សោយនេះត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវមកពី Cisco Talos ដែលត្រូវបានគេដាក់លេខកូដថា TALOS-2016-0193/CVE-2016-8332 ។ OpenJPEG គឺជា open-source JPEG 2000 codec ហើយត្រូវបានគេសរសេរឡើងជាភាសា C ក្នុងគោលបំណងដើម្បីធ្វើការ coding/encoding JPEG2000 image ដែលគឺជាទម្រង់មួយនិយមប្រើប្រាស់សម្រាប់ការងារដូចជាការបង្កប់រូបភាពទៅក្នុង PDF documents តាមរយៈកម្មវិធីពេញមនិយមមានដូចជា PdFium, Poppler, និង MuPDF ជាដើម។
អ្នកវាយប្រហារអាចវាយលុកទៅលើចំនុចខ្សោយនោះបានដោយបញ្ជោតឲ្យអ្នកជនរងគ្រោះបើកនូវ file ជារូបភាព JPEG2000 ឬក៏ឯកសារ PDF ដែលមាន បង្កប់នូវរូបភាព។ អ្នកវាយប្រហារក៏អាចធ្វើការបញ្ចូន (upload) នូវ malicious JPEG2000 file ទៅកាន់ Dropbox ឬ Google Drive ផងដែរ ហើយបន្ទាប់មកធ្វើការចែករំលែកបញ្ជប់ (link) ជាមួយនឹងជនរងគ្រោះ ។
អ្នកស្រាវជ្រាវបានទទួលជោគជ័យក្នុងការធ្វើតេស្តវានៅលើ OpenJPEG openjp2 កំណែ 2.1.1 ហើយកំហុសឆ្គងនេះត្រូវបានរកឃើញដោយលោក Aleksandar Nikolic មកពី Ciso Talos Security team ។ កំហុសឆ្គងនេះត្រូវបានជួសជុលរួចទៅហើយដោយ OpenJPEG developers នៅពេលដែលទទួលបានព័ត៌មាននៅក្នុងចុងខែកក្កដាកន្លងទៅនេះ ហើយកំណែចុងក្រោយគឺ 2.1.2 ។ ចំនុចខ្សោយនេះត្រូវបានគេដាក់ពិន្ទុ 7.5 ដែលស្ថិតនៅក្នុងជំពូកហានិភ័យខ្ពស់៕
ប្រភព: The Hacker News / ប្រែសម្រួលដោយ: SecuDemy.com