The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в библиотеке обработки шрифтов Libgraphite

15.02.2016 21:49

Разработчик из Cisco Talos обнаружил несколько уязвимостей (CVE-2016-1521, CVE-2016-1522, CVE-2016-1523, CVE-2016-1526) в библиотеке обработки шрифтов Graphite2, которая используется в большом количестве открытых приложений. Уязвимыми на данный момент являются Mozilla Firefox 38 ESR, OpenOffice и другие программы, использующие библиотеку. Уязвимости проявляются при обработке средствами библиотеки специально подготовленного Graphite-шрифта.

Две наиболее опасные проблемы приводят к выходу за пределы границы буфера, что в теории позволяет атакующему выполнить произвольный код и получить доступ к системе под правами пользователя, запускающего приложение. Наличие уязвимости подтверждено в Libgraphite 2 1.2.4, ветка 1.3.x проблемам не подвержена. Уязвимости исправлены в Firefox ESR 38.6.1 (Firefox 43 и 44 использует ветку Libgraphite 2 1.3, не подверженную проблеме).

  1. Главная ссылка к новости (http://blog.talosintel.com/201...)
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43878-security
Ключевые слова: security, remote, firefox, openoffice, libreoffice, graphite
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (4) RSS
  • 1, Аноним (-), 23:22, 15/02/2016 [ответить]  
  • –1 +/
    Давайте ещё через год новости писать — полторы недели прошло. Если проворонили новость, то не надо потом протухшую выдавать.
     
     
  • 4, Аноним (-), 00:15, 16/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Давайте ещё через год новости писать — полторы недели прошло. Если проворонили
    > новость, то не надо потом протухшую выдавать.

    Исправлений в дистрибутивах ещё нет, так что это пока zero-day проблема. Только Firefox обновился.

    https://security-tracker.debian.org/tracker/DSA-3477-1
    Debian/oldstable packages graphite2, iceweasel are vulnerable.
    Debian/stable packages graphite2, iceweasel are vulnerable.

    https://bugzilla.redhat.com/show_bug.cgi?id=1305814
    http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-1523.html
    https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-1523

     

  • 2, Аноним (-), 23:26, 15/02/2016 [ответить]  
  • +1 +/
    похожая новость уже была
    https://www.opennet.ru/opennews/art.shtml?num=43859
     
  • 3, Аноним (-), 00:03, 16/02/2016 [ответить]  
  • +/
    циска берёт реванш?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру