iccDEV предоставляет набор библиотек и инструментов для работы с профилями управления цветом ICC. До версии 2.3.1.6 в IccUtil.cpp существовало условие неопределенного поведения (UB), запускаемое созданным профилем ввода. В UndefineBehaviorSanitizer о проблеме сообщается как о недопустимых операциях сдвига влево для icUInt32Number (беззнаковое 32-битное число), где сдвинутое значение «не может быть представлено» в этом типе.
Эта проблема исправлена в версии 2.3.1.6.
Показать оригинальное описание (EN)
iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to version 2.3.1.6, there is an Undefined Behavior (UB) condition in IccUtil.cpp triggered by a crafted input profile. Under UndefinedBehaviorSanitizer, the issue is reported as invalid left shift operations on icUInt32Number (unsigned 32-bit) where the shifted value “cannot be represented” in that type. This issue has been patched in version 2.3.1.6.
Характеристики атаки
Последствия
Строка CVSS v3.1