LibTIFF es una biblioteca para leer y escribir archivos de formato de archivo de imagen etiquetada. El conjunto también contiene herramientas de línea de comandos para procesar archivos TIFF. Se distribuye en código fuente y se puede encontrar como versiones binarias para todo tipo de plataformas. Este boletín de seguridad contiene información sobre 7 vulnerabilidades en LibTIFF.
1) Lectura fuera de los límites
CVE-ID: CVE-2022-2953
Descripción
La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).La vulnerabilidad existe debido a una condición límite en la función extractImageSection() en tools/tiffcrop.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar un error de lectura fuera de los límites y realizar un ataque de denegación de servicio (DoS).
Mitigación
No hay parches disponible para abordar esta vulnerabilidad.
Versiones de software vulnerables
Biblioteca TIFF: 3.4 – 4.6.1
2) Escritura fuera de los límites
CVE-ID: CVE-2022-3597
Descripción
La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.
La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función _TIFFmemcpy() en libtiff/tif_unix.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.
Mitigación
No hay parches disponible para abordar esta vulnerabilidad.
Versiones de software vulnerables
Biblioteca TIFF: 3.4 – 4.6.1
3) Escritura fuera de los límites
CVE-ID: CVE-2022-3626
Descripción
La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.
La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función _TIFFmemset() en libtiff/tif_unix.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.
Mitigación
No hay parches disponible para abordar esta vulnerabilidad
.Versiones de software vulnerables
Biblioteca TIFF: 3.4 – 4.6.1
4) Escritura fuera de los límites
CVE-ID: CVE-2022-3627
Descripción
La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.
La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función _TIFFmemcpy() en libtiff/tif_unix.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.
Mitigación
No hay parches disponible para abordar esta vulnerabilidad.
Versiones de software vulnerables
Biblioteca TIFF: 3.4 – 4.6.1
5) Lectura fuera de los límites
CVE-ID: CVE-2022-3599
Descripción
La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).
La vulnerabilidad existe debido a una condición límite en la función writeSingleSection() en tools/tiffcrop.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar un error de lectura fuera de los límites y realizar un ataque de denegación de servicio (DoS).
Mitigación
No hay parches disponible para abordar esta vulnerabilidad.
Versiones de software vulnerables
Biblioteca TIFF: 3.4 – 4.6.1
6) Escritura fuera de los límites
CVE-ID: CVE-2022-3598
Descripción
La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.
La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función extractContigSamplesShifted24bits() en tools/tiffcrop.c. Un atacante remoto puede pasar una imagen TIFF especialmente diseñada a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.
Mitigación
No hay parches disponible para abordar esta vulnerabilidad.
Versiones de software vulnerables
Biblioteca TIFF: 3.4 – 4.6.1
7) Desbordamiento de búfer basado en montón
CVE-ID: CVE-2022-3570
Descripción
La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.
La vulnerabilidad existe debido a un error de límite en la utilidad tiffcrop.c en libtiff al procesar archivos TIFF. Un atacante remoto puede pasar un archivo especialmente diseñado a la aplicación, desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema de destino.
La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
Mitigación
No hay parches disponible para abordar esta vulnerabilidad.
Versiones de software vulnerables
Biblioteca TIFF: 3.9 – 4.6.1
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.