PT-2020-18453 · Fontforge+5 · Fontforge+5

Fcambus

·

Publicado

2020-01-03

·

Atualizado

2024-06-15

·

CVE-2020-5395

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
FontForge versão 20190801
Descrição
O problema está relacionado a um uso após liberação (use-after-free) na função SFD GetFontMetaData, localizada em sfd.c. Isso indica um problema de gerenciamento de memória em que a memória é acessada após ter sido liberada, o que pode levar a comportamentos inesperados ou falhas no sistema. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para a versão 20190801 do FontForge, como solução temporária, considere restringir o acesso à função SFD GetFontMetaData em sfd.c até que um patch esteja disponível. No entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALSA-2020:4844
ALT-PU-2020-1542
CESA-2020_1921
CESA-2020_3966
CVE-2020-5395
DLA-3754-1
MGASA-2020-0057
OPENSUSE-SU-2020:0089-1
OPENSUSE-SU-2020:2111-1
OPENSUSE-SU-2020_0089-1
OPENSUSE-SU-2020_2111-1
OPENSUSE-SU-2024:10763-1
RHSA-2020:1921
RHSA-2020:3966
RHSA-2020_1921
RHSA-2020_3966
SUSE-SU-2020:0118-1
SUSE-SU-2020:0393-1
SUSE-SU-2020:3628-1
SUSE-SU-2020_0118-1
SUSE-SU-2020_0393-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Fontforge
Red Hat
Suse