iccDEV предоставляет набор библиотек и инструментов для работы с профилями управления цветом ICC. До версии 2.3.1.5 в CIccMatrixMath::SetRange() происходила запись о переполнении буфера в куче, что приводило к повреждению памяти или сбою. Эта уязвимость исправлена в версии 2.3.1.5.
Показать оригинальное описание (EN)
iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to 2.3.1.5, there is a heap-based buffer overflow write in CIccMatrixMath::SetRange() causing memory corruption or crash. This vulnerability is fixed in 2.3.1.5.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Color Iccdev
cpe:2.3:a:color:iccdev:*:*:*:*:*:*:*:*
|
— |
2.3.1.5
|
Ссылки 4
https://github.com/InternationalColorConsortium/iccDEV/issues/621
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/pull/636
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/releases/tag/v2.3.1.5
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA…
security-advisories@github.com