iccDEV предоставляет набор библиотек и инструментов для работы с профилями управления цветом ICC. До версии 2.3.1.5 в CTiffImg::ReadLine() происходит чтение кучи за пределами границ, когда iccApplyProfiles обрабатывает созданное изображение TIFF, что приводит к раскрытию памяти или сбою. Эта уязвимость исправлена в версии 2.3.1.5.
Показать оригинальное описание (EN)
iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to 2.3.1.5, there is a heap out-of-bounds read in CTiffImg::ReadLine() when iccApplyProfiles processes a crafted TIFF image, causing memory disclosure or crash. This vulnerability is fixed in 2.3.1.5.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Color Iccdev
cpe:2.3:a:color:iccdev:*:*:*:*:*:*:*:*
|
— |
2.3.1.5
|
Ссылки 4
https://github.com/InternationalColorConsortium/iccDEV/issues/656
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/pull/659
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/releases/tag/v2.3.1.5
security-advisories@github.com
https://github.com/InternationalColorConsortium/iccDEV/security/advisories/GHSA…
security-advisories@github.com