Hoy se ha presentado la versión 3.5.29 de DjVuLibre, que incluye una corrección crucial para una vulnerabilidad crítica conocida como CVE-2025-53367. Esta falla permitía un acceso no autorizado a la memoria en el método MMRDecoder::scanruns, lo que podría haber permitido la ejecución de código malicioso en sistemas Linux Desktop al abrir documentos específicamente diseñados para explotar esta debilidad.
DjVu, similar al formato PDF, es utilizado principalmente para visualizar documentos. Varias distribuciones de Linux tienen visualizadores predeterminados como Evince y Papers que son capaces de identificar archivos DjVu, incluso si llevan la extensión .pdf, procesándolos a través de DjVuLibre.
La vulnerabilidad fue descubierta por un investigador llamado Antonio durante su análisis del lector de documentos Evince, utilizando técnicas de fuzzing. Posteriormente, un colaborador llamado Kev desarrolló un concepto de prueba para demostrar cómo esta falla podía ser explotada. Durante una demostración, un documento DjVu malicioso, disfrazado como un archivo .pdf, fue capaz de ejecutar un comando que abría un video de Rick Astley al ser cargado en el visualizador predeterminado.
A pesar de que este exploit logra evadir ciertos mecanismos de seguridad, como la distribución aleatoria del espacio de direcciones (ASLR), su eficacia es inconstante, ya que puede funcionar varias veces seguidas antes de fallar inesperadamente. Sin embargo, los desarrolladores sostienen que se puede desarrollar un exploit más robusto.
Un aspecto crítico es que el perfil de seguridad AppArmor del visualizador previene la ejecución de procesos arbitrarios, con excepciones, como la apertura de google-chrome. Esto llevó a que, en vez de ejecutar una calculadora, en la demostración se optara por reproducir un video. No obstante, el perfil de AppArmor no es completamente restrictivo, permitiendo así que un atacante con suficiente determinación pueda ejecutar código malicioso.
El lanzamiento de esta actualización se produjo menos de 48 horas después de que los autores del software fueran notificados sobre la vulnerabilidad, demostrando una respuesta rápida por parte de la comunidad de desarrollo. Se tiene planeado publicar el código fuente del exploit en las próximas semanas, buscando aumentar la conciencia sobre esta vulnerabilidad y su posible explotación.
