Hoy se ha lanzado la nueva actualización de DjVuLibre, la versión 3.5.29, que resuelve una vulnerabilidad crítica identificada como CVE-2025-53367. Esta falla de seguridad permite el acceso no autorizado a la memoria a través del método MMRDecoder::scanruns. Esta brecha podría facilitar la ejecución de código malicioso en sistemas Linux Desktop al abrir documentos diseñados con la intención de explotar esta debilidad.
DjVu, utilizado principalmente para visualizar documentos de manera similar al formato PDF, es compatible con varios visualizadores predeterminados en distribuciones de Linux, como Evince y Papers. Estos programas pueden detectar automáticamente archivos DjVu, incluso si tienen una extensión .pdf, procesándolos mediante DjVuLibre.
La vulnerabilidad fue descubierta por Antonio, quien estaba investigando el lector de documentos Evince usando técnicas de fuzzing. Posteriormente, Kev desarrolló un concepto de prueba que demuestra cómo explotar esta falla. En una demostración, un documento DjVu malicioso, enmascarado con la extensión .pdf, logra desencadenar la ejecución de un video de Rick Astley al cargarse en el visualizador predeterminado.
Aunque el exploit puede evadir ciertas medidas de seguridad, como la distribución aleatoria del espacio de direcciones (ASLR), su eficacia es inconsistente. Puede funcionar repetidamente y luego fallar sin previo aviso. A pesar de esto, los desarrolladores creen que es posible crear un exploit más efectivo.
Cabe destacar que el perfil de seguridad AppArmor del visualizador evita la ejecución de procesos arbitrarios, excepto para google-chrome. Esto resultó en que, durante la demostración, se optara por reproducir un video en lugar de, por ejemplo, abrir una calculadora. Sin embargo, el perfil de AppArmor no es lo suficientemente restrictivo como para impedir por completo la ejecución de código malicioso por parte de un atacante determinado.
La actualización de esta versión fue lanzada en tiempo récord, menos de 48 horas después de que se notificara la vulnerabilidad a los desarrolladores del software, demostrando la rápida respuesta de la comunidad de desarrollo. Se espera que el código fuente del exploit se publique en las próximas semanas con el objetivo de incrementar la conciencia sobre esta vulnerabilidad y su posible explotación.
