Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- ACDSee Photo Manager 10.0 ;
- ACDSee Photo Manager 8.1 ;
- ACDSee Photo Manager 9.0/
Résumé
Une vulnérabilité a été identifiée dans l'outil de gestion de contenus multimédia ACDSee Photo Manager. L'exploitation de cette dernière à distance par une personne malveillante peut conduire à l'exécution de code arbitraire sur le système vulnérable, ou à une perturbation du service.
Description
Une vulnérabilité a été identifiée dans l'outil de gestion de contenus multimédia ACDSee Photo Manager. Elle concerne en particulier la manipulation de fichiers au format .XBM (ou X-BitMap). Ce format est utilisé dans une interface X (GUI) pour stocker des images associées au curseur ou aux icônes par exemple. Il s'agit dun format d'image monochromatique encore interprété par la plupart des navigateurs actuels.
L'avis de sécurité publié par ACD en décembre 2007 mentionne également les formats XPM (textitXPixMap), PSP (Paint Shop Pro) et LHA.
Une personne malveillante pourrait exploiter cette vulnérabilité pour exécuter à distance des commandes arbitraires sur le système vulnérable, ou du moins perturber le fonctionnement du service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité Trend Micro publié le 25 janvier 2008 : http://www.trendmicro.com/vinfo/secadvisories/default6.asp?VName=Vulnerability+in+AcdSee+Photo+Manager
- Note technique ACDSee de référence 2800 publiée le 27 décembre 2007 : http://www.acdsee.com/support/knowledgebase/article?id=2800