CVE-2026-32882 in libheif
Сводка
по VulDB • 19.05.2026
libheif — это декодер и кодировщик файловых форматов HEIF и AVIF. Версии 1.21.2 и более ранние содержат ошибку heap buffer over-read в функции HeifPixelImage::overlay() в файле libheif/pixelimage.cc. При композитинге изображения-оверлея (iovl), у которого дочернее изображение имеет другую глубину бит для канала альфа, чем для цветовых каналов, функция обращается к плоскости альфа, используя шаг (stride) цветового канала (in_stride), вместо ранее полученного alpha_stride, что приводит к чтению за пределами буфера альфа (до 3123 байт для изображения размером 100×50 пикселей с 10-битным цветом и 8-битной альфой). Сфабрикованный файл HEIF может использовать эту уязвимость для вызова отказа в обслуживании (падения) или потенциального раскрытия соседней памяти в куче через утекающие байты, встроенные в декодированные выходные пиксели. Эта проблема исправлена в версии 1.22.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.