Risque
- Exécution de code arbitraire
Systèmes affectés
LibTIFF version 3.9.2 et versions antérieures.
Les applications utilisant cette bibliothèque peuvent être vulnérables.
Résumé
Des vulnérabilités dans des décodeurs de la bibliothèque LibTIFF sont exploitables par un utilisateur malveillant pour exécuter du code arbitraire.
Description
Un débordement d'entier affecte le décodeur d'une catégorie d'images au format TIFF (FAX3). Cette vulnérabilité est exploitable par un utilisateur malveillant pour exécuter du code arbitraire.
Un autre débordement d'entier, dans le traitement d'une macro, permet à un utilisateur malveillant de provoquer un déni de service et, potentiellement, d'exécuter du code arbitraire.
Un problème de traitement du format OJPEG est exploitable par un utilisateur malveillant pour provoquer un déni de service.
Solution
La version 3.9.3 de la bibliothèque LibTIFF remédie à ces problèmes.
À la date de mise à jour de cet avis, des vulnérabilités de la version 3.9.3 sont corrigées par la version 3.9.4.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de la version 3.9.3 de la bibliothèque LibTIFF du 11 juin 2010 : http://www.remotesensing.org/libtiff/v3.9.3.html
- Référence CVE CVE-2010-1411 https://www.cve.org/CVERecord?id=CVE-2010-1411
- Référence CVE CVE-2010-2065 https://www.cve.org/CVERecord?id=CVE-2010-2065
- Référence CVE CVE-2010-2443 https://www.cve.org/CVERecord?id=CVE-2010-2443
