El paquete libTIFF contiene una librería de funciones, cuya misión es la manipulación de imágenes TIFF (Tagged Image File Format) en entornos del tipo UNIX-like. Existen también binarios para sistemas Windows.
Los problemas, descubiertos por Tavis Ormandy, del equipo de seguridad de Google, podrían facilitar enormemente la denegación de servicio e incluso el compromiso de los sistemas vulnerables; para lo cual bastaría con someter al mismo a la manipulación de una imagen TIFF especialmente conformada con fines maliciosos. Los errores detectados son:
* Diversos desbordamientos de búfer basados en stack.
* Un desbordamiento de heap en el decodificador JPEG puede sobrepasar el tamaño de búfer con más datos de los esperados.
* Un desbordamiento de heap en el decodificador PixarLog puede ser explotado por atacantes para provocar la ejecución de código arbitrario.
* Una vulnerabilidad de desbordamiento de heap se ha localizado en el decodificador NeXT RLE.
* Se ha descubierto un bucle infinito en el que una variable de 16 bit sin signo se usaba para iterar sobre un valor de 32 bit.
* Diversas operaciones aritméticas sin comprobaciones de seguridad, incluyendo una en el tratamiento de desplazamientos usados para directorios TIFF.
* Un error en el soporte de etiquetas personalizadas libtiffs puede resultar en el comportamiento anormal de la aplicación, ceses inesperados de la ejecución o incluso potencialmente en la ejecución de código arbitrario.
Las referencias CVE relacionadas con este problema son CVE-2006-3459, CVE-2006-3460, CVE-2006-3461, CVE-2006-3462, CVE-2006-3463, CVE-2006-3464 y CVE-2006-3465.
La opción más sensata que se presenta a los usuarios es actualizar. Si estas actualizaciones no se encontrasen disponibles para su distribución, es prudente no abrir imágenes TIFF hasta disponer de los parches correctores. Salvo indicación contraria de los distintos fabricantes, y habida cuenta del elevado número de ramas en activo del producto, deben considerarse vulnerables todas las versiones 3.x previas a los parches recientemente emitidos.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…