El
grupo de seguridad de Cisco Talos ha anunciado
tres vulnerabilidades en la librería
LibTIFF que pueden ser aprovechadas
por atacantes para lograr la ejecución
de código arbitrario.
La librería LibTIFF usada para
leer y escribir imágenes en formato tiff se distribuye gratuitamente y permite
su uso en Windows y plataformas UNIX (incluyendo Linux y MacOS X). Múltiples
programas tanto de escritorio como en servidores web hacen uso de ella para
permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan
estas vulnerabilidades.
El primer problema, con CVE-2016-8331,
se produce durante el uso de imágenes TIFF mediante la API LibTIFF. La
vulnerabilidad reside en un desbordamiento de búfer en el tratamiento del campo
"BadFaxLines" de una imagen
TIFF específicamente creada. Un atacante podría lograr la ejecución de código
arbitrario mediante una imagen Tiff especialmente manipulada. Esta
vulnerabilidad aun no ha sido corregida.
Por otra parte, con CVE-2016-5875,
una vulnerabilidad en la manipulación de imágenes TIFF comprimidas por la API PixarLogDecode
de LibTIFF. El uso de un búfer pequeño en la función "ínflate" de la librería Zlib provoca un desbordamiento de
búfer que podría permitir la ejecución remota de código. Por último, CVE-2016-5652
reside en la herramienta Tiff2PDF incluida con LibTIFF, cuando un archivo TIFF usa
compresión JPEG.
Hasta el momento no se ha
publicado ninguna versión oficial de LibTIFF que solucione estos problemas. Se
ha publicado parches en forma de código para CVE-2016-5652 y CVE-2016-5875 disponibles
desde el repositorio GIT en:
Más información:
Vulnerability Spotlight: LibTIFF Issues Lead To
Code Execution
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario