Összefoglaló
Az Adobe Camera Raw Plug-in két sérülékenységét jelentették, amiket kihasználva a támadók feltörhetik a felhasználó rendszerét.
Leírás
- A “Camera Raw.8bi” bővítmény LZW tömörítésű TIFF képek feldolgozása közben fellépő hibáját kihasználva halom alapú puffer túlcsordulást idézhetnek elő egy speciálisan megszerkesztett fájllal, amelynek érvénytelen az image row strip LZW kódja.
- A “Camera Raw.8bi” bővítmény egy egész szám túlcsordulásos hibáját kihasználva, amely a TIFF képek feldolgozása alatt a memória allokációja közben keletkezik, kihasználható halom alapú puffer túlcsordulás előidézésére speciálisan megszerkesztett kép dimenziókat tartalmazó fájlok segítségével.
A sérülékenységek sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé, ha a felhasználó megnyit egy káros tartalmú állományt.
A sérülékenységeket a bővítmény 7.2 és annál korábbi verzióiban jelentették, és az alábbi termékekben erősítették meg:
- Adobe Bridge CS6 5.0.0.399 verzió
- Adobe Photoshop CS6 13.0 20120315.r.428 verzió
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.adobe.com
Egyéb referencia: secunia.com
CVE-2012-5679 - NVD CVE-2012-5679
CVE-2012-5680 - NVD CVE-2012-5680
SECUNIA 49929