PT-2022-24235 · Unknown · Openimageio
Lilith >_>
·
Publicado
2022-12-22
·
Atualizado
2024-06-15
·
CVE-2022-38143
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OpenImageIO versão 2.3.19.0
Descrição
Existe uma falha de gravação fora dos limites da pilha (heap out-of-bounds) na forma como o OpenImageIO processa imagens BMP codificadas em RLE. Um arquivo BMP especialmente criado pode gravar em áreas arbitrárias da memória fora dos limites, o que pode levar à execução de código arbitrário. Um invasor pode fornecer um arquivo malicioso para desencadear essa falha.
Recomendações
Para o OpenImageIO versão 2.3.19.0, considere evitar o uso de imagens BMP codificadas em RLE até que um patch esteja disponível. Como solução temporária, restrinja o processamento de arquivos BMP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openimageio