PT-2024-37045 · Harfbuzz+2 · Harfbuzz+2

Fizz-Is-On-The-Way

·

Publicado

2024-12-27

·

Atualizado

2025-02-13

·

CVE-2024-56732

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões 8.5.0 a 10.0.1 do HarfBuzz
Descrição
O HarfBuzz é um mecanismo de formatação de texto. Existe um estouro de buffer baseado em heap na função hb cairo glyphs from buffer. Essa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema alvo.
Recomendações
Para as versões 8.5.0 a 10.0.1 do HarfBuzz, considere desativar a função hb cairo glyphs from buffer até que um patch esteja disponível. Restrinja o acesso ao módulo hb-cairo.cc para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-122

Identificadores relacionados

AZL-54701
AZL-54704
BDU:2025-03336
CVE-2024-56732
GHSA-QMP9-XQM5-JH6M
OESA-2025-1009
OESA-2025-1019
OPENSUSE-SU-2025:14614-1
USN-7214-1

Produtos afetados

Harfbuzz
Red Os
Ubuntu