OpenEXR ugrožen prekoračenjem celobrojne vrednosti u DWA dekoderu
Pronađena kritična ranjivost u OpenEXR biblioteci - celobrojno prekoračenje u DWA dekoderu pogađa verzije do 3.4.9.
Šta se desilo?
Otkrivena je ranjivost u biblioteci OpenEXR koja omogućava napadaču da izazove prekoračenje celobrojne vrednosti pri obradi kompresovanih slika. Problem se nalazi u DWA dekoderu i predstavlja propuštenu varijantu prethodno zakrpljene ranjivosti. Razvoj u verzijama 3.2.0 do 3.2.7, 3.3.0 do 3.3.9 i 3.4.0 do 3.4.9 sadrži kod koji koristi 32-bitnu aritmetiku bez potrebne zaštite.
Koga pogađa?
Uglavnom su ugroženi profesionalci u filmskoj i video produkciji koji koriste OpenEXR za rad sa visokobitnim slikama. Takođe su riziku izloženi korisnici softvera koji koristi OpenEXR za obradu EXR datoteka - uključujući proizvođače 3D softvera, editori videa i aplikacije za obradu slika.
Kako se zaštititi?
- Hitno ažurirajte OpenEXR na verzije 3.2.8, 3.3.10 ili 3.4.10 ili novije
- Ako ažuriranje nije odmah moguće, izbegavajte otvaranje EXR datoteka iz nepoznatih izvora
- Koristite OpenEXR samo sa datotekama iz pouzdanih izvora dok ne primenite zakrpu
- Proverite koju verziju OpenEXR koristi vaš softver i zahtevajte ažuriranje od proizvođača
Tehnički detalji
CVE-2026-40250 se nalazi u datoteci `internal_dwa_compressor.h` na liniji 1040, gde operacija `chan->width * chan->bytes_per_element` koristi 32-bitnu aritmetiku bez eksplicitnog kastovanja na `size_t`. Ovo omogućava celobrojno prekoračenje koje može dovesti do problema sa memorijom. Identična greška je već ispravljana u drugim dekoderima preko CVE-2026-34589, CVE-2026-34588 i CVE-2026-34544, ali je ova instanca u DWA dekoderu propuštena. CVSS skor je 8.4 (visok rizik).
Preporuka Sajber Radara
Ažuriranje je obavezno za sve korisnike OpenEXR-a koji su na starijim verzijama. Pošto ovaj softver koriste stručnjaci, preporuka je da IT timovi prioritizuju ažuriranje svih alata zavisnih od OpenEXR biblioteke kako bi sprečili potencijalne sigurnosne incidente.