CH azonosító
CH-6656Angol cím
ImageMagick Multiple Denial of Service VulnerabilitiesFelfedezés dátuma
2012.04.04.Súlyosság
AlacsonyÖsszefoglaló
Az ImageMagick több sérülékenysége vált ismertté, amelyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- A “GetEXIFProperty()” függvényben (magick/property.c) a 0 komponens számú JPEG EXIF tag-ek elemzése közben jelentkező hiba kihasználható nem inicializált vagy érvénytelen memória elérésére egy speciálisan formázott JPEG kép segítségével.
A sérülékenység a 6.7.6-2 és azt megelőző verziókat érinti. - A “JPEGWarningHandler()” függvényben (coders/jpeg.c) a JPEG “restart marker”-ek kezelése közben alkalmazott nem megfelelő érvényesítést kihasználva túlzott erőforrás felhasználást lehet okozni egy speciálisan formázott JPEG kép segítségével.
A sérülékenység a 6.7.6-2 és azt megelőző verziókat érinti. - A “TIFFGetEXIFProperties()” függvényben (coders/tiff.c) a TIFF EXIF IFD elemzésekor jelentkező hiba érvénytelen memória olvasást eredményezhet egy speciálisan formázott TIFF kép hatására.
A sérülékenység a 6.7.6-2 és azt megelőző verziókat érinti. - A “GetEXIFProperty()” függvényben (magick/property.c), nagyszámú komponenssel rendelkező JPEG EXIF tag-ek elemzésekor jelentkező egész túlcsordulási hiba érvénytelen halom memória olvasást eredményezhet. Egy hasonló hiba létezik a “SyncImageProfiles()” függvényben (magick/profile.c).
A sérülékenység a 6.7.6-4 előtti verziókat érinti.
Megoldás
Frissítsen a 6.7.6-4 verzióra vagy alkalmazzon frissítést.
Hivatkozások
Gyártói referencia: www.imagemagick.org
Egyéb referencia: www.cert.fi
Egyéb referencia: seclists.org
CVE-2012-0259 - NVD CVE-2012-0259
CVE-2012-0260 - NVD CVE-2012-0260
CVE-2012-1610 - NVD CVE-2012-1610
CVE-2012-1798 - NVD CVE-2012-1798
SECUNIA 48679