Šta se desilo?

Otkrivena je kritična ranjivost u OpenEXR biblioteci koja omogućava celobrojni overflow u komponenti za DWA kompresiju slika. Greška se nalazi u kodu koji obrađuje podatke o kanalima i može dovesti do neočekivanog ponašanja primene. Ovo je varijantan sluč aja ranijeg problema CVE-2026-34589 koji je programerima prošao nezapaženo.

Koga pogađa?

Pogođeni su korisnici i organizacije koje koriste OpenEXR verzije 3.2.0 do 3.2.7, 3.3.0 do 3.3.9 i 3.4.0 do 3.4.9. Posebno su rizični sistemi u industriji digitalne animacije, produkcije videa i obrade digitalne slike gde se OpenEXR ekstenzivno koristi za rad sa profesionalnim formatima slikovnih datoteka.

Kako se zaštititi?

  • Odmah ažuriraj OpenEXR na verzije 3.2.8, 3.3.10 ili 3.4.10 i novije
  • Ako trenutno ne možeš da ažuriraš, ograniči pristup datotekama EXR formata samo pouzdanim izvorima
  • Implementiraj validaciju ulaznih datoteka pre nego što ih proces obradi
  • Prati zvanične objave OpenEXR projekta za nove bezbednosne zakrpe

Tehnički detalji

CVE-2026-40244 se nalazi u datoteci internal_dwa_compressor.h na liniji 1722, gde se operacija curc->width * curc->height izvršava kao int32 aritmetika bez prethodnog kastovanja na (size_t). Ovo može dovesti do nepredviđenog ponašanja kada vrednosti pređu granice 32-bitnog celog broja. Severity procena je 8.4 - HIGH.

Preporuka Sajber Radara

Preporučujemo svim organizacijama koje koriste OpenEXR da odmah prioritizuju ažuriranje na ispravljena izdanja. Iako je ranjivost specifična za DWA kompresiju, obrada kompromitovanih EXR datoteka može dovesti do haosa u proizvodnim okruženjima.