libsixel — это реализация кодера/декодера SIXEL, созданная на основе Sixel компании kmiya. Версии 1.8.7 и более ранние содержат уязвимость Use-After-Free через функцию load_gif() в fromgif.c, где один объект Sixel_frame_t повторно используется во всех кадрах анимированного GIF-файла, а gif_init_frame() безоговорочно освобождает и перераспределяет пиксели кадр-> между кадрами без учета счетчика ссылок объекта. Поскольку общедоступный API явно предоставляет Sixel_frame_ref() для сохранения кадра и Sixel_frame_get_pixels() для доступа к буферу необработанных пикселей, обратный вызов, следующий этому документированному шаблону использования, будет удерживать висячий указатель после декодирования второго кадра, что приведет к куче использования после освобождения, подтвержденной ASAN.
Это затрагивает любое приложение, использующее Sixel_helper_load_image_file() с многокадровым обратным вызовом для обработки предоставленных пользователем анимированных GIF-файлов, с надежным сбоем как минимальным воздействием и возможностью выполнения кода. Эта проблема исправлена в версии 1.8.7-r1.
Показать оригинальное описание (EN)
libsixel is a SIXEL encoder/decoder implementation derived from kmiya's sixel. Versions 1.8.7 and prior contain a Use-After-Free vulnerability via the load_gif() function in fromgif.c, where a single sixel_frame_t object is reused across all frames of an animated GIF and gif_init_frame() unconditionally frees and reallocates frame->pixels between frames without consulting the object's reference count. Because the public API explicitly provides sixel_frame_ref() to retain a frame and sixel_frame_get_pixels() to access the raw pixel buffer, a callback following this documented usage pattern will hold a dangling pointer after the second frame is decoded, resulting in a heap use-after-free confirmed by ASAN. Any application using sixel_helper_load_image_file() with a multi-frame callback to process user-supplied animated GIFs is affected, with a reliable crash as the minimum impact and potential for code execution. This issue has been fixed in version 1.8.7-r1.
Характеристики атаки
Последствия
Строка CVSS v3.1