Risque
- Exécution de code arbitraire
Systèmes affectés
LibTIFF version 3.9.3 et versions antérieures.
Les applications utilisant cette bibliothèque peuvent être vulnérables.
Résumé
Deux vulnérabilités dans le traitement d'images par LibTIFF sont exploitables par un utilisateur malveillant pour exécuter du code arbitraire.
Description
Un débordement de mémoire peut survenir lors du traitement du champ SubjectDistance dans une image au format TIFF. Cette vulnérabilité est exploitable par un utilisateur malveillant pour exécuter du code arbitraire au moyen d'une image TIFF spécialement conçue (CVE-2010-2067).
La correction de la vulnérabilité référencée CVE-2010-2347, permettant de l'exécution de code arbitraire, était incomplète.
Solution
La version 3.9.4 de la bibliothèque LibTIFF remédie à ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de la version 3.9.4 de la bibliothèque LibTIFF du 15 juin 2010 : http://www.remotesensing.org/libtiff/v3.9.4.html
- Référence CVE CVE-2010-2067 https://www.cve.org/CVERecord?id=CVE-2010-2067
- Référence CVE CVE-2010-2347 https://www.cve.org/CVERecord?id=CVE-2010-2347
