📚 OpenJPEG 2016.1.18 JPEG 2000 Image Handler opj_j2k_update_image_data Pufferüberlauf
💡 Newskategorie: PoC
🔗 Quelle: scip.ch
Allgemein
scipID: 80711
Betroffen: OpenJPEG 2016.1.18
Veröffentlicht: 27.01.2016
Risiko: kritisch
Erstellt: 28.01.2016
Eintrag: 65.7% komplett
Beschreibung
Eine Schwachstelle wurde in OpenJPEG 2016.1.18 ausgemacht. Sie wurde als kritisch eingestuft. Es geht hierbei um die Funktion opj_j2k_update_image_data
der Komponente JPEG 2000 Image Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Heap-based) ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Heap-based buffer overflow in the opj_j2k_update_image_data function in OpenJpeg 2016.1.18 allows remote attackers to cause a denial of service (out-of-bounds read and application crash) via a crafted JPEG 2000 image.
Die Schwachstelle wurde am 27.01.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1923 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Von weiterem Interesse können die folgenden Einträge sein: 80712.
CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 6.8 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
27.01.2016 | Advisory veröffentlicht
28.01.2016 | VulDB Eintrag erstellt
28.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-1923 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 80712
...