Новости
В GIMP нашли уязвимость при открытии PSP-файлов Paint Shop Pro
Ещё одна дыра в разборе графического формата: двойное освобождение памяти при открытии вредоносного PSP-файла.
В июльском наборе патчей безопасности для Android разработчики закрыли критическую ошибку в библиотеке, которая читает RAW-снимки формата DNG. Опасность в том, что для атаки не нужен запуск программы — достаточно, чтобы устройство просто обработало подготовленную картинку. Разбираем, что случилось, при чём тут формат DNG и как защититься.

Коротко: 7 июля 2026 в бюллетене безопасности Android закрыли критическую уязвимость CVE-2026-27280 — повреждение памяти в Adobe DNG SDK версии 1.7.1.2471 и старше. Обработка вредоносного RAW-снимка формата DNG может привести к выполнению произвольного кода. Признаков атак «в дикой природе» пока не публиковали. Защита одна — установить июльское обновление системы.
7 июля 2026 года вышел очередной бюллетень безопасности Android, а вслед за ним — июльские обновления производителей смартфонов. По данным издания heise online, только в сборке для устройств Samsung Galaxy закрыли 57 уязвимостей, из которых 5 отнесены к критическому уровню, а 42 — к высокому. Патчи касаются аппаратов на Android 14, 15 и 16.
Самая заметная из критических записей — CVE-2026-27280, ошибка повреждения памяти в Adobe DNG SDK (комплекте разработчика для работы с форматом DNG). Формулировка проблемы предельно наглядная: если пользователь открывает подготовленное изображение в формате DNG, атакующий может добиться выполнения произвольного кода (Remote Code Execution). Именно этот сценарий и делает уязвимости в разборе картинок особенно опасными: жертве не нужно ничего устанавливать или подтверждать.
Рядом в том же бюллетене — ещё одна файловая находка, CVE-2026-33636: чтение за границами буфера в популярной библиотеке libpng (версии 1.6.36–1.6.55). Она проявляется на процессорах ARM/AArch64 при включённом аппаратном ускорении (оптимизация Neon) для расширения палитры и грозит аварийным завершением или утечкой данных. Обе записи объединяет общий класс проблем — небезопасный разбор графических форматов.
DNG (Digital Negative, расширение .dng) — это открытый формат «цифрового негатива», представленный Adobe в 2004 году как универсальный контейнер для RAW-снимков. В отличие от JPEG, RAW-файл хранит «сырые» данные прямо с матрицы камеры, без внутрикамерной обработки, — это даёт максимум простора для последующей ретуши. У каждого производителя камер исторически свой RAW (CR2/CR3 у Canon, NEF у Nikon, ARW у Sony), и DNG задумывался как единый стандарт поверх этого «зоопарка».
Сегодня DNG встречается гораздо шире профессиональной фотографии: в него снимают смартфоны в режиме RAW, его экспортируют мобильные и десктопные фоторедакторы, а операционные системы умеют показывать превью таких файлов «из коробки». За чтение DNG во многих продуктах отвечает один и тот же кирпичик — Adobe DNG SDK, открытая библиотека-эталон. Отсюда и масштаб: одна ошибка в общем SDK тиражируется в десятки приложений и системных компонентов.
Любая программа, прежде чем показать изображение, должна его разобрать — прочитать заголовки и структуру файла. Ошибка в этом разборе превращает безобидный на вид снимок в способ атаки. Поэтому дыры регулярно находят не только в фоторедакторах, но и в архиваторах, PDF-читалках и антивирусах — см. недавнюю новость об опасных вложениях RAR, SVG и PDF.
По классификации CVE-2026-27280 — это ошибка повреждения памяти при разборе некорректно сформированного DNG-файла. Уязвимы Adobe DNG SDK версии 1.7.1.2471 и все более ранние. Практический итог для атакованного устройства — от аварийного завершения приложения до выполнения кода злоумышленника в контексте программы, открывшей файл.
Отдельно стоит понимать разницу между «нужно открыть файл» и «файл сработает сам». Часть подобных дыр требует, чтобы пользователь вручную открыл вложение, но самые опасные срабатывают при фоновой обработке — например, когда система строит миниатюру картинки или мессенджер готовит превью присланного файла. По оценкам исследователей безопасности, именно к такому — почти бесконтактному — классу тяготеют уязвимости в системных обработчиках изображений.
Тема вредоносных DNG-файлов для смартфонов не нова. В 2024–2025 годах, по сообщениям профильных СМИ, злоумышленники использовали дыру в собственном кодеке изображений Samsung для скрытной установки коммерческого шпионского ПО через специально подготовленные DNG-файлы, приходившие в мессенджере. Свежая CVE-2026-27280 относится к тому же классу проблем, поэтому обновление лучше не откладывать.
В первую очередь речь о владельцах Android-смартфонов, где DNG-снимки обрабатываются системными средствами и приложениями камеры или галереи. Но проблема шире одной платформы: Adobe DNG SDK встроен во множество программ и на настольных ОС, поэтому обновлять стоит любой софт, который умеет открывать RAW и DNG.
Для повседневной работы с файлами вывод прежний и универсальный: формат сам по себе не «безопасный» и не «опасный» — риск создаёт программа, которая его открывает, и её актуальность. Один и тот же снимок безобиден в обновлённом просмотрщике и потенциально опасен в устаревшем. Что такое RAW и чем его открывать на разных системах, мы подробно разбирали в справке про RAW-файлы с камеры, а общие правила безопасной работы с загрузками собраны в разделе безопасность файлов.
Практический риск-фактор — привычка открывать «на посмотреть» любые присланные картинки, особенно экзотические для мессенджеров RAW и DNG. Если источник вызывает сомнения, файл стоит сначала проверить на вирусы и уж точно не пересылать дальше. Ориентироваться, чем вообще открывать графику, помогает наш каталог форматов изображений.
2026-07). Именно оно закрывает CVE-2026-27280.Обновление системы бесплатное и не меняет привычный интерфейс. По сути это очередное напоминание: галерея и камера обрабатывают чужие файлы так же, как браузер — чужие страницы, а значит, остаются мишенью для атак. Держать их в актуальном состоянии — самая простая и надёжная защита.