sábado, 3 de enero de 2015

Denegación de servicio en la librería libtiff

Se ha anunciado la existencia de una vulnerabilidad en LibTIFF que podría permitir a un atacante provocar condiciones de denegación de servicio

La librería LibTIFF usada para leer y escribir imágenes en formato tiff se utiliza habitualmente en sistemas UNIX. Múltiples programas tanto de escritorio como en servidores web hacen uso de ella para permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan estas vulnerabilidades.

El problema, con CVE-2014-9330, reside en un desbordamiento de entero relacionado con las dimensiones de la imagen en bmp2tiff al tratar archivos BMP específicamente manipulados. Esto puede provocar una lectura fuera de límites que da lugar a la caída de la aplicación.

Se ha publicado una solución en forma de código que corrige el problema.

Más información:

CVE-2014-9330: Libtiff integer overflow in bmp2tiff

Bug 2494 - Out-of-bounds memory read in bmp2tiff




Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada