El 18 de junio de 2026 Canonical publicó el aviso USN-8454-1, que corrige varias vulnerabilidades en libheif, la librería que usa medio escritorio Linux para descodificar imágenes en formato HEIF y AVIF. El problema es del tipo que más preocupa con un visor de imágenes: basta con que alguien te pase un archivo manipulado y lo abras para que pasen cosas malas.
Qué es libheif y por qué importa
libheif descodifica HEIF (el formato de fotos que sacan los iPhone) y AVIF (cada vez más común en la web por su buena compresión). No es un programa que ejecutes a mano. Está enganchado por debajo en gestores de archivos como Nautilus, en visores de imágenes, en generadores de miniaturas y en aplicaciones que abren fotos. Cuando navegas por una carpeta llena de imágenes, libheif ya está trabajando para generar las vistas previas. Ahí está el riesgo: el código se ejecuta sin que tú hagas nada más que mirar.
Qué falla
Las vulnerabilidades agrupadas en este aviso, varias de ellas descubiertas por el investigador Elhanan Haenel, vienen de un manejo incorrecto de archivos HEIF y AVIF mal formados. Hay de varios sabores: bucles infinitos al procesar secuencias HEIF malformadas que hacen que la librería consuma recursos sin parar, errores al tratar archivos con imágenes de máscara y fallos de descodificación en imágenes manipuladas. El aviso de Ubuntu describe el impacto en dos niveles: en el mejor de los casos una denegación de servicio (la aplicación que abre la imagen se cuelga o se cierra), y en el peor la posibilidad de ejecutar código arbitrario al procesar una imagen maliciosa.
La diferencia entre esos dos escenarios es enorme. Una denegación de servicio es molesta pero recuperable. La ejecución de código permite a quien envía la imagen correr instrucciones con los permisos del proceso que la abrió, que normalmente es tu sesión de usuario.
A quién afecta
USN-8454-1 cubre un abanico amplio de versiones de Ubuntu: 26.04 LTS, 25.10, 24.04 LTS, 22.04 LTS, 20.04 LTS y 18.04 LTS. Las dos últimas reciben el parche a través de Ubuntu Pro / ESM, así que necesitas tener ESM activado para recibirlo en esos sistemas tan veteranos. Si usas Ubuntu en cualquiera de sus sabores de escritorio, tienes libheif instalado casi con seguridad, porque lo arrastran las librerías gráficas del entorno.
Cómo protegerte
La actualización normal del sistema resuelve todo. No hace falta nada raro:
sudo apt update
sudo apt upgradeLas versiones corregidas son la 1.21.2-3ubuntu0.1 en Ubuntu 26.04, la 1.20.2-1ubuntu0.4 en 25.10 y la 1.17.6-1ubuntu4.4 en 24.04, con paquetes ESM para las ramas más antiguas. Después de actualizar conviene cerrar y volver a abrir las aplicaciones que ya tuvieras corriendo, porque las que están en memoria siguen usando la versión vieja de la librería hasta que las reinicies. Si quieres curarte en salud, reinicia la sesión.
Mientras no actualices, el consejo de sentido común vale tanto como el parche: no abras imágenes HEIF ni AVIF que te lleguen de fuentes que no controlas, y desconfía de carpetas compartidas con archivos de origen dudoso, porque la generación automática de miniaturas puede disparar el fallo sin que hagas clic en nada.
Si te interesa el ritmo de parcheo de Canonical, hemos cubierto otros avisos recientes como USN-8059-1 sobre el kernel, y tienes el repaso de la versión actual en Ubuntu 26.04 LTS.