📚 LibTIFF 4.0.6 tools/tiff2pdf.c t2p_process_jpeg_strip() Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in LibTIFF 4.0.6 gefunden. Hierbei geht es um die Funktion t2p_process_jpeg_strip()
der Datei tools/tiff2pdf.c. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 22.11.2016 als MSVR 35098 (Website) herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-9536 gehandelt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 93746, 93747, 93748 und 93750.
CVSSv3
Base Score: ≈5.5 [?]Temp Score: ≈5.5 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:C [?]
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈4.1 (CVSS2#E:ND/RL:ND/RC:C) [?]
Zuverlässigkeit: Low
CPE
Exploiting
Klasse: PufferüberlaufLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
22.11.2016 Advisory veröffentlicht23.11.2016 VulDB Eintrag erstellt
23.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: MSVR 35098Status: Bestätigt
CVE: CVE-2016-9536 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 93746, 93747, 93748, 93750, 93751, 93752, 93753
Eintrag
Erstellt: 23.11.2016Eintrag: 70.7% komplett
...