iccDEV предоставляет набор библиотек и инструментов, которые позволяют взаимодействовать, манипулировать и применять профили управления цветом ICC. До версии 2.3.1.3 существовала уязвимость переполнения буфера кучи в CIccFileIO::Read8() при обработке некорректных файлов профиля ICC с помощью непроверяемой операции чтения. Эта проблема исправлена в версии 2.3.1.3.
Показать оригинальное описание (EN)
iccDEV provides a set of libraries and tools that allow for the interaction, manipulation, and application of ICC color management profiles. Prior to version 2.3.1.3, there is a heap buffer overflow vulnerability in CIccFileIO::Read8() when processing malformed ICC profile files via unchecked fread operation. This issue has been patched in version 2.3.1.3.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 4
https://github.com/InternationalColorConsortium/iccDEV/commit/8a6df2d8dac1e971a…
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/issues/558
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/pull/562
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA…
security-advisories@github.com