Se ha
anunciado la existencia de una vulnerabilidad en LibTIFF que podría permitir a
un atacante provocar condiciones de denegación de servicio
La librería LibTIFF usada para leer y escribir
imágenes en formato tiff se utiliza habitualmente en sistemas UNIX. Múltiples
programas tanto de escritorio como en servidores web hacen uso de ella para
permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan
estas vulnerabilidades.
El problema, con CVE-2014-9330, reside en un
desbordamiento de entero relacionado con las dimensiones de la imagen en
bmp2tiff al tratar archivos BMP específicamente manipulados. Esto puede
provocar una lectura fuera de límites que da lugar a la caída de la aplicación.
Recomendación
- Se ha publicado una solución en forma de código que corrige el problema.
- CVE-2014-9330: Libtiff integer overflow in bmp2tiff http://seclists.org/fulldisclosure/2014/Dec/97
- Bug 2494 - Out-of-bounds memory read in bmp2tiff http://bugzilla.maptools.org/show_bug.cgi?id=2494