Se han publicado nuevos paquetes de gdk-pixbuf2 para ALDOS, la distribución basada en Fedora/RHEL. Esta actualización de seguridad de la biblioteca utilizada por innumerables aplicaciones gráficas para la carga y el procesamiento de imágenes corrige dos vulnerabilidades de severidad crítica y alta que afectan a versiones anteriores. Se recomienda a todos los usuarios aplicar la actualización de manera inmediata para proteger sus sistemas.

📷 Detalle de las vulnerabilidades

CVE-2026-5201 (severidad crítica) – Desbordamiento de búfer en el heap en el cargador JPEG

Esta vulnerabilidad consiste en un desbordamiento de búfer en la memoria dinámica (heap) que se produce en el cargador de imágenes JPEG de la biblioteca. El fallo reside en una validación incorrecta del recuento de componentes de color al procesar una imagen JPEG especialmente manipulada.

Las consecuencias de explotar esta vulnerabilidad pueden incluir:

• Ejecución de código arbitraria en el contexto de la aplicación vulnerable.
• Denegación de servicio (DoS) mediante el bloqueo o la caída de la aplicación.
• Divulgación de información sensible de la memoria del proceso afectado.
• Corrupción de la memoria del heap, que podría derivar en comportamientos inesperados.

El fallo afecta a todas las versiones de gdk-pixbuf2 e impacta especialmente a entornos donde los usuarios puedan procesar imágenes JPEG de origen no confiable, como clientes de correo electrónico, navegadores web, visores de imágenes y aplicaciones que generan miniaturas automáticamente.

CVE-2025-7345 (severidad alta) – Desbordamiento de búfer en el heap en JPEG con datos ICC fragmentados

Esta vulnerabilidad se manifiesta en la función gdk_pixbuf__jpeg_image_load_increment (io-jpeg.c) y en g_base64_encode_step de la biblioteca GLib al procesar imágenes JPEG que contienen datos ICC (perfil de color) fragmentados. Durante la codificación Base64 de estos datos, se produce un desbordamiento de búfer en el heap.

El impacto de esta vulnerabilidad puede incluir:

• Lectura fuera de los límites del heap, permitiendo la posible divulgación de información sensible.
• Corrupción de memoria que podría derivar en la ejecución de código arbitraria por parte de un atacante.
• Denegación de servicio mediante el bloqueo de la aplicación afectada.

El fallo fue descubierto mediante técnicas de fuzzing y afecta a todas las versiones de gdk-pixbuf2.

⚡ Actualización en ALDOS

Para los usuarios de ALDOS, la corrección está disponible de inmediato a través de los repositorios oficiales. Los paquetes consisten en gdk-pixbuf2 versión 2.42.12-4 con parches portados desde la versión más reciente de la biblioteca.

Para actualizar todos los paquetes del sistema, incluida la nueva versión de la biblioteca, ejecute el siguiente mandato en su terminal:

yum -y update

Tras la actualización, se recomienda reiniciar la sesión gráfica para garantizar que todas las aplicaciones carguen la nueva versión de la biblioteca en memoria. Si lo prefiere, puede reiniciar únicamente las aplicaciones que hacen un uso intensivo de imágenes (visores, navegadores, clientes de correo, etc.), aunque la opción más segura es cerrar la sesión del usuario y volver a iniciarla.

Nota sobre la demora en la publicación de estos paquetes: Lamento que la publicación se haya demorado varios días debido a una distracción con la migración a Glib 2.84 en la rama de desarrollo de ALDOS. Los paquetes estaban pendientes en la carpeta de la rama estable y han sido publicados ahora. Agradezco su comprensión.

📚 Bibliografía

• CVE-2026-5201 en NVD (National Vulnerability Database)
• CVE-2025-7345 en NVD (National Vulnerability Database)
• Debian Security Advisory DSA-6206-1 (gdk-pixbuf)
• Ubuntu Security Advisory USN-8156-1 (CVE-2026-5201)
• Debian LTS Advisory DLA-4531-1 (gdk-pixbuf)