iccDEV предоставляет набор библиотек и инструментов для работы с профилями управления цветом ICC. До версии 2.3.1.5 в CIccCmm::AddXform() существовала функция heap-use-after-free, вызывающая недопустимое разыменование vptr и сбой. Эта уязвимость исправлена в версии 2.3.1.5.
Показать оригинальное описание (EN)
iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to 2.3.1.5, there is a heap-use-after-free in CIccCmm::AddXform() causing invalid vptr dereference and crash. This vulnerability is fixed in 2.3.1.5.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Color Iccdev
cpe:2.3:a:color:iccdev:*:*:*:*:*:*:*:*
|
— |
2.3.1.5
|
Ссылки 4
https://github.com/InternationalColorConsortium/iccDEV/issues/612
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/pull/616
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/releases/tag/v2.3.1.5
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA…
security-advisories@github.com