CVE-2025-7345

چکیده

یک آسیب‌پذیری از نوع سرریز بافر هیپ (Heap Buffer Overflow) در کتابخانه gdk-pixbuf هنگام پردازش تصاویر JPEG دست‌کاری‌شده شناسایی شده است. این ضعف در تابع gdk_pixbuf__jpeg_image_load_increment (در فایل io-jpeg.c) و همچنین در تابع g_base64_encode_step کتابخانه glib رخ می‌دهد. در مرحله رمزگذاری Base64، محاسبه نادرست اندازه بافر باعث خواندن خارج از محدوده حافظه هیپ (Out‑of‑Bounds Read) می‌شود. مهاجم بدون نیاز به احراز هویت، تنها با ارسال یک تصویر JPEG مخرب می‌تواند برنامه‌های وابسته به gdk-pixbuf را دچار کرش و انکار سرویس(DoS) کرده یا در برخی شرایط خاص امکان اجرای کد دلخواه (ACE) را به دست آورد.

توضیحات

آسیب‌پذیری CVE‑2025‑7345 از نوع سرریز بافر مبتنی بر هیپ (Heap Buffer Overflow) مطابق با CWE‑120 در کتابخانه‌ی gdk‑pixbuf است که هنگام پردازش تصاویر JPEG رخ می‌دهد. این ضعف زمانی ایجاد می‌شود که یک تصویر JPEG مخرب به تابع gdk_pixbuf__jpeg_image_load_increment ارسال می‌شود. در جریان پردازش متاداده‌های EXIF و به‌ویژه هنگام انجام عملیات رمز نگاری Base64 توسط تابع g_base64_encode_step در کتابخانه‌ی glib، اندازه بافر به‌درستی محاسبه نمی‌شود و در نتیجه خواندن خارج از محدوده حافظه (Out‑of‑Bounds Read) در هیپ رخ می دهد.

این آسیب‌پذیری به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند بدون نیاز به احراز هویت، بدون تعامل کاربر و از راه دور، یک تصویر JPEG مخرب را از طریق هر برنامه‌ای که برای بارگذاری تصویر از gdk‑pixbuf استفاده می‌کند ارسال کند. این حمله می‌تواند موجب انکار سرویس (DoS) با کرش برنامه شود و در شرایط خاص، به دلیل ماهیت سرریز هیپ، احتمال اجرای کد دلخواه (ACE) نیز وجود دارد. همچنین یک کد اثبات مفهومی (PoC) به‌صورت عمومی منتشر شده است که نحوه بازتولید آسیب‌پذیری را با استفاده از Fuzzing نشان می‌دهد. این PoC با ایجاد یک JPEG مخرب و اجرای آن در محیط AddressSanitizer، وقوع سرریز بافر هیپ و خواندن خارج از محدوده را در توابع مسئول پردازش JPEG و مرحله‌ی Base64 Encoding تأیید می‌کند. اجرای این PoC موجب کرش برنامه شده و امکان تحلیل شرایطی که می‌تواند به اجرای کد منجر شود را فراهم می کند. این ضعف امنیتی در جولای و آگوست 2025 توسط Red Hat و پروژه GNOME پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Gdk‑Pixbuf را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در یکی از پرکاربردترین کتابخانه‌های پردازش تصویر در لینوکس یعنی gdk‑pixbuf، میلیون‌ها برنامه دسکتاپ و سروری را تحت‌تأثیر قرار می‌دهد و امکان کرش برنامه یا انکار سرویس (DoS) و در سناریوهای خاص اجرای کد دلخواه (ACE) را فراهم می کند. با توجه به وجود کد اثبات مفهومی و انتشار پچ رسمی، اجرای فوری اقدامات زیر ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های RHEL 7/8/9/10 و توزیع‌های مبتنی بر GNOME را به نسخه‌های پچ‌شده gdk-pixbuf2 ارتقا دهید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی پردازش تصاویر: در برنامه‌های وب، APIها یا سرویس‌هایی که تصاویر کاربران را پردازش می‌کنند، در صورت امکان از کتابخانه‌های جایگزین ایمن‌تر استفاده کرده یا فرآیند پردازش را به یک سرویس ایزوله منتقل کنید.
• فعال‌سازی مکانیزم های حفاظتی سیستم عامل: برای سخت‌تر شدن بهره‌برداری RCE، مطمئن شوید که مکانیزم‌های امنیتی ASLR (آدرس‌دهی تصادفی فضای حافظه)، NX (غیرفعال‌سازی اجرای بخش‌های غیرقابل‌اجرا) و Stack Canaries (محافظ‌های پشته برای جلوگیری از سرریز بافر) در سیستم فعال هستند.
• استفاده از محیط های ایزوله: برنامه‌های GTK/GNOME را در محیط‌های ایزوله مانند Flatpak، Firejail یا container اجرا کنید.
• اسکن ورودی‌ها قبل از پردازش: در گیت‌وی‌ها یا وب‌سرورها با ابزارهایی مانند ClamAV، libjpeg-turbo یا فایروال اپلیکیشن های وب مخصوص پردازش تصویر، فایل‌های JPEG را قبل از ارسال به gdk-pixbuf اسکن کنید.
• مانیتورینگ و بررسی کرش‌ها: لاگ‌های systemd-coredump و ABRT را برای کرش‌های مشکوک gdk-pixbuf مانیتور کنید.

اجرای این اقدامات، به ویژه به روزرسانی ریسک بهره‌برداری از این آسیب‌پذیری و سایر ضعف‌های مرتبط با پردازش تصویر را به حداقل رسانده و امنیت سامانه را به شکل قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این آسیب‌پذیری نیاز به تعامل کاربر ندارد و مهاجم می‌تواند از طریق ارسال مستقیم تصویر JPEG مخرب به برنامه‌های وابسته به gdk‑pixbuf، دسترسی اولیه برای بهره‌برداری ایجاد کند. ورودی مخرب به‌صورت از راه دور و بدون احراز هویت قابل ارسال است.

Execution (TA0002)
پردازش تصویر JPEG مخرب توسط gdk‑pixbuf باعث سرریز بافر هیپ در توابع gdk_pixbuf__jpeg_image_load_increment و g_base64_encode_step می‌شود. این سرریز امکان انکار سرویس (DoS) و در شرایط خاص اجرای کد دلخواه (ACE) را فراهم می‌کند.

Defense Evasion (TA0005)
مهاجم می‌تواند با تغییر ساختار JPEG و مخفی کردن payload در تصاویر، فرآیند تشخیص ساده را دور بزند، اما این تکنیک محدود به detection سنتی است و از نظر امنیت سیستم تأثیر متوسط دارد.

Impact (TA0040)
این آسیب‌پذیری باعث کرش برنامه و انکار سرویس (DoS) می‌شود و در شرایط خاص، امکان اجرای کد دلخواه را فراهم می‌کند. برنامه‌ها و سرویس‌های دسکتاپ و سرور که به gdk‑pixbuf وابسته‌اند در معرض خطر هستند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-7345
2. https://www.cvedetails.com/cve/CVE-2025-7345/
3. https://access.redhat.com/security/cve/CVE-2025-7345
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-7345
5. https://vuldb.com/?id.315296
6. https://bugzilla.redhat.com/show_bug.cgi?id=2377063
7. https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/issues/249
8. https://lists.debian.org/debian-lts-announce/2025/10/msg00024.html
9. https://nvd.nist.gov/vuln/detail/CVE-2025-7345
10. https://cwe.mitre.org/data/definitions/120.html