Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 juin 2008

N° CERTA-2008-AVI-314

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans FreeType

Gestion du document

Référence	CERTA-2008-AVI-314
Titre	Multiples vulnérabilités dans FreeType
Date de la première version	13 juin 2008
Date de la dernière version	25 juin 2008
Source(s)	Notes de version 2.3.6 de FreeType

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Bibliothèque FreeType versions 2.3.5 et antérieures.

Résumé

De multiples vulnérabilités permettant l'exécution de code arbitraire à distance ont été découvertes dans FreeType.

Description

De multiples vulnérabilités ont été découvertes dans la bibliothèque FreeType. Celles-ci concernent le traitement des fichiers aux formats PFB (Printer Font Binary) et TTF (TrueType Font). L'exploitation de ces vulnérabilités permet l'exécution de code arbitraire à distance.

Solution

Mettre à jour FreeType en version 2.3.6.

Documentation

Notes de version 2.3.6 de FreeType

http://sourceforge.net/project/shownotes.php?release_id=605780

Bulletin de sécurité Sun #239006 du 18 juin 2008 :

http://sunsolve.sun.com/search/document.do?assetkey=1-66-239006-1

Site de téléchargement de FreeType :

http://freetype.sourceforge.net/download.html

Référence CVE CVE-2008-1806

https://www.cve.org/CVERecord?id=CVE-2008-1806

Référence CVE CVE-2008-1807

https://www.cve.org/CVERecord?id=CVE-2008-1807

Référence CVE CVE-2008-1808

https://www.cve.org/CVERecord?id=CVE-2008-1808

Gestion détaillée du document

le 13 juin 2008: version initiale.
le 25 juin 2008: ajout de la référence au bulletin de sécurité Sun.