iccDEV предоставляет набор библиотек и инструментов для работы с профилями управления цветом ICC. До версии 2.3.1.5 в CIccBasicStructFactory::CreateStruct() происходило переполнение стека, вызывающее неконтролируемую рекурсию/исчерпание стека и сбой. Эта уязвимость исправлена в версии 2.3.1.5.
Показать оригинальное описание (EN)
iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to 2.3.1.5, there is a stack overflow in CIccBasicStructFactory::CreateStruct() causing uncontrolled recursion/stack exhaustion and crash. This vulnerability is fixed in 2.3.1.5.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Color Iccdev
cpe:2.3:a:color:iccdev:*:*:*:*:*:*:*:*
|
— |
2.3.1.5
|
Ссылки 4
https://github.com/InternationalColorConsortium/iccDEV/issues/629
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/pull/630
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/releases/tag/v2.3.1.5
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA…
security-advisories@github.com