Risque

Exécution de code arbitraire.

Systèmes affectés

LibTIFF version 3.9.3 et versions antérieures.

Les applications utilisant cette bibliothèque peuvent être vulnérables.

Résumé

Deux vulnérabilités dans le traitement d'images par LibTIFF sont exploitables par un utilisateur malveillant pour exécuter du code arbitraire.

Description

Un débordement de mémoire peut survenir lors du traitement du champ SubjectDistance dans une image au format TIFF. Cette vulnérabilité est exploitable par un utilisateur malveillant pour exécuter du code arbitraire au moyen d'une image TIFF spécialement conçue (CVE-2010-2067).

La correction de la vulnérabilité référencée CVE-2010-2347, permettant de l'exécution de code arbitraire, était incomplète.

Solution

La version 3.9.4 de la bibliothèque LibTIFF remédie à ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation