CVE-2024-42358

Versões do PDFio anteriores à 1.3.1

O problema diz respeito a uma vulnerabilidade de negação de serviço (DOS) no analisador TTF da biblioteca PDFio. Arquivos TTF criados com intenção maliciosa podem fazer com que o programa utilize 100% da memória e entre em um loop infinito, levando potencialmente a uma vulnerabilidade de estouro de buffer na pilha. Isso ocorre devido ao valor nGroups extraído do arquivo, que, quando alterado, pode fazer com que o programa consuma memória excessiva e entre em um loop infinito. A função read camp é especificamente afetada por este problema. Sistemas automatizados, incluindo servidores web que utilizam esta biblioteca para converter envios de PDF em texto simples, estão vulneráveis a ataques DOS se um invasor enviar um arquivo TTF malicioso.

Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 para resolver o problema. Como solução temporária, considere restringir o envio de arquivos TTF ou implementar verificações de validação adicionais nos valores nGroups para evitar o uso excessivo de memória e loops infinitos. Evite usar a biblioteca ttf.h até que o problema seja resolvido.