PT-2022-4310 · Harfbuzz+10 · Harfbuzz+10

Pietroborrello

·

Publicado

2022-06-22

·

Atualizado

2025-09-19

·

CVE-2022-33068

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Harfbuzz versão 4.3.0
Descrição
O problema está relacionado a um estouro de inteiro no componente hb-ot-shape-fallback.cc da biblioteca Harfbuzz, que pode ser explorado por invasores para causar uma negação de serviço (DoS) por meio de vetores não especificados. Isso pode ser feito enviando dados especialmente criados para o aplicativo, resultando em um estouro de inteiro e potencialmente levando a uma falha no sistema.
Recomendações
Para a versão 4.3.0 do Harfbuzz, considere atualizar para uma versão mais recente que inclua uma correção para o problema de estouro de inteiro no componente hb-ot-shape-fallback.cc. Como solução temporária, restrinja os dados de entrada para impedir que solicitações especialmente criadas causem o estouro de inteiro.

Exploit

Correção

DoS

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190

Identificadores relacionados

ALSA-2022:8384
BDU:2022-05166
CESA-2022_7000
CESA-2022_7012
CVE-2022-33068
OESA-2022-1777
OPENSUSE-SU-2022:2663-1
OPENSUSE-SU-2022_2663-1
OPENSUSE-SU-2022_2664-1
OPENSUSE-SU-2024:12168-1
RHSA-2022:6999
RHSA-2022:7000
RHSA-2022:7012
RHSA-2022:7013
RHSA-2022:8384
RHSA-2022_6999
RHSA-2022_7000
RHSA-2022_7012
RHSA-2022_7013
RHSA-2022_8384
RLSA-2022:8384
SUSE-SU-2022:2663-1
SUSE-SU-2022:2664-1
SUSE-SU-2022_2663-1
SUSE-SU-2022_2664-1
USN-5524-1

Produtos afetados

Almalinux
Astra Linux
Centos
Debian
Harfbuzz
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu