Hoy se anunció el lanzamiento de la versión 3.5.29 de DjVuLibre, una actualización crucial que aborda una vulnerabilidad crítica identificada como CVE-2025-53367. Esta falla permite el acceso no autorizado a la memoria a través del método MMRDecoder::scanruns, lo que potencialmente facilita la ejecución de código malicioso en sistemas Linux Desktop al abrir un documento diseñado específicamente para explotar esta debilidad.
DjVu, un formato de archivo similar al PDF, es ampliamente utilizado para la visualización de documentos. En muchas distribuciones de Linux, los visualizadores predeterminados como Evince y Papers pueden identificar automáticamente archivos DjVu, incluso cuando tienen una extensión .pdf, para procesarlos con DjVuLibre.
La vulnerabilidad fue descubierta por Antonio durante su investigación sobre el lector de documentos Evince, utilizando técnicas de fuzzing. Más tarde, Kev desarrolló un concepto de prueba que demuestra cómo explotar esta falla. Una presentación mostró que un documento DjVu malicioso, al disfrazarse con una extensión .pdf, puede ejecutar un comando para abrir un video de Rick Astley cuando se carga en el visualizador predeterminado.
Aunque el exploit logra evadir algunas medidas de seguridad, como la distribución aleatoria del espacio de direcciones (ASLR), su funcionamiento es inconsistente, ya que puede operar durante un tiempo y luego dejar de hacerlo repentinamente. No obstante, los desarrolladores creen que se podría crear un exploit más eficaz.
El perfil de seguridad AppArmor del visualizador impide la ejecución de procesos arbitrarios, salvo una excepción para google-chrome. Esto llevó a elegir la reproducción de un video en lugar de abrir una calculadora en la demostración. Sin embargo, el perfil de AppArmor no es completamente restrictivo, lo que podría permitir a un atacante decidido ejecutar código malicioso.
La actualización fue lanzada menos de 48 horas después de que la vulnerabilidad fuera notificada a los desarrolladores del software, mostrando una respuesta rápida de la comunidad de desarrollo. Se espera que el código fuente del exploit se publique en las próximas semanas, con el objetivo de aumentar la concienciación sobre esta vulnerabilidad y su posible explotación.
