Критическая уязвимость в библиотеке Assimp угрожает безопасности РЕД ОС

vulnerability

В Банк данных угроз безопасности информации (BDU) была внесена запись о критической уязвимости, получившей идентификатор BDU:2026-09805 (CVE-2025-70067). Проблема затронула популярную библиотеку для импорта трёхмерных моделей Open Asset Import Library (Assimp). Из-за широкого распространения этого компонента под ударом оказались и пользователи отечественной операционной системы РЕД ОС. Ситуация требует пристального внимания, ведь речь идёт о возможности полного захвата контроля над системой.

Детали уязвимости

Уязвимость кроется в ошибке, классифицируемой как переполнение буфера в динамической памяти. Если говорить просто, то библиотека Assimp, обрабатывая специально созданный файл с трёхмерной моделью, может ошибиться с выделением памяти. В результате злоумышленник получает возможность записать данные за пределы отведённого буфера. Подобные ошибки кода традиционно считаются одними из самых опасных.

Согласно данным из BDU, эксплуатация уязвимости позволяет нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании. Это означает, что атакующему достаточно отправить жертве вредоносный файл, например, модель для игры или приложения, чтобы взять под контроль её компьютер. Высокая оценка по стандартной системе оценки критичности уязвимостей CVSS версии 3.1 составляет 9,8 балла из 10 возможных. Это однозначно критический уровень опасности.

Подтверждено, что уязвимости подвержена библиотека Assimp версий до 5.4.3 включительно. Проблема могла коснуться множества продуктов, использующих этот компонент. Однако в контексте российского рынка особое значение имеет тот факт, что библиотека применяется в операционной системе РЕД ОС версий 7.3 и 8.0 от компании "Ред Софт". Данная ОС входит в Единый реестр российских программ и активно используется в государственных учреждениях и на критически важных объектах инфраструктуры. Уязвимость в такой системе может стать лазейкой для целевых атак на государственный сектор.

Техника эксплуатации, как указано в документации, предполагает манипулирование структурами данных. Злоумышленнику потребуется создать специальную модель, которая при загрузке в приложение, использующее Assimp, спровоцирует переполнение буфера. После успешной атаки нарушитель может получить полный контроль над системой - от кражи данных до установки программ-шпионов или программ-вымогателей. Интересно, что статус уязвимости уже подтверждён производителем, а данные о существовании готового эксплойта пока уточняются.

Хорошая новость в том, что способы устранения уже известны. Уязвимость исправлена в версии библиотеки Open Asset Import Library 5.4.3 и выше. Разработчики "Ред Софт" также оперативно отреагировали на инцидент. Компания уже выпустила обновления для своих операционных систем. Пользователям РЕД ОС настоятельно рекомендуется проверить наличие обновлений через официальный репозиторий производителя. Инструкции и ссылки доступны на сайте redos.red-soft.ru по номеру CVE-2025-70067.

Для всех остальных специалистов по кибербезопасности, использующих библиотеку Assimp в своих проектах, алгоритм действий такой же. Необходимо немедленно обновить компонент до актуальной версии. Игнорирование этой рекомендации может привести к серьёзным последствиям. Представьте себе сценарий, при котором вредоносная модель попадает в CAD-систему (систему автоматизированного проектирования) на заводе или в просмотрщик 3D-контента в госоргане. Последствия для бизнес-процессов могут быть катастрофическими.

Подводя итог, можно сказать, что история с BDU:2026-09805 - это ещё одно напоминание о том, насколько хрупкой может быть цепочка поставок программного обеспечения. Уязвимость в одной небольшой, но широко используемой библиотеке ставит под угрозу целые экосистемы. К счастью, на этот раз вендоры сработали на опережение, и патчи уже доступны. Теперь слово за службами информационной безопасности конечных пользователей. Главное - не откладывать установку обновлений в долгий ящик, ведь для атакующего каждый день промедления может стать преимуществом. Своевременное обновление ПО по-прежнему остаётся самым надёжным и простым способом защиты от подобных угроз.

Ссылки

Комментарии: 0