NVIDIA vient de révéler la présence de quatre failles de sécurité dans la bibliothèque nvJPEG2000 qui permet d'accélérer matériellement l'encodage et le décodage d'images au format JPEG2000 avec les GPU NVIDIA (à partir de la famille Pascal). La bibliothèque nvJPEG2000 se base sur la plateforme de calculs CUDA et peut être installée sur Windows et Linux grâce à un installateur mais elle requiert également au minimum le CUDA Toolkit 11.0 et le pilote NVIDIA R450.

D'après NVIDIA, ces quatre vulnérabilités ont pour référence CVE-2024-0142, CVE-2024-0143, CVE-2024-0144 et CVE-2024-0145. Elle présentent un score CVSS de 6,8 ce qui correspond à un risque moyen. L'exploit de ces vulnérabilités consiste en un dépassement de mémoire tampon provoqué par un fichier JPEG2000 corrompu qui peut aboutir à l'exécution de code ou à la falsification de données.

Les correctifs de ces failles ont été intégrés dans la nouvelle version 0.8.1 de la bibliothèque nvJPEG2000 comme indiqué dans le bulletin de sécurité NVIDIA 5596 du 11 février 2025.

Pour information, le format JPEG 2000 (extensions de fichier JP2/JPG2/J2K/JPX) permet de générer des images compressées d'un poids nettement inférieur aux traditionnelles images JPG tout en offrant une qualité légèrement meilleure sachant qu'il permet également de créer des images sans perte d'information comme PNG, WebP ou AVIF. Toutefois, le format JPEG 2000 ne s'est jamais imposé sur le web et reste cantonné à un usage de niche par certains professionnels (cartographie, imagerie satellitaire, imagerie médicale...) malgré sa normalisation en 2015 et la disponibilité du codec open source OpenJPEG.

Actualité publiée par Julien Sambourg le lundi 17 février 2025 à 10:12
Commenter cette actualité
Marque associée : NVIDIA
Catégorie associée : Carte graphique
Flux RSS des actualités TousLesDrivers.com