W bibliotece OpenImageIO w wersji v3.1.0.0dev wykryto podatność powodującą naruszenie segmentacji (segmentation violation) w komponencie string_view.h. Błąd sklasyfikowany jako CRITICAL z wynikiem CVSS 9.8 może umożliwić atakującemu zdalne wykonanie kodu lub wywołanie awarii aplikacji.
▸ Pokaż oryginał (EN)
OpenImageIO v3.1.0.0dev was discovered to contain a segmentation violation via the component /OpenImageIO/string_view.h.
Podatność wynika z nieprawidłowej obsługi wskaźnika (CWE-476 — dereferencja wskaźnika NULL) w komponencie string_view.h biblioteki OpenImageIO. Przetworzenie odpowiednio spreparowanych danych wejściowych prowadzi do naruszenia segmentacji procesu, co skutkuje nieprzewidywalnym zachowaniem aplikacji. Błąd jest dostępny zdalnie, bez wymagania uwierzytelnienia ani interakcji użytkownika (wektor AV:N/AC:L/PR:N/UI:N).
Atakujący może doprowadzić do awarii aplikacji (odmowa usługi) lub — w zależności od środowiska wykonawczego — potencjalnie do wykonania arbitralnego kodu (RCE) z naruszeniem poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie aktualizacji w repozytorium projektu (https://github.com/AcademySoftwareFoundation/OpenImageIO) oraz unikanie przetwarzania niezaufanych plików graficznych do czasu wdrożenia poprawki.
OpenImageIO v3.1.0.0dev (wersja deweloperska); szczegółowy zakres wersji należy zweryfikować w referencjach producenta
Podatność dotyczy wersji deweloperskiej (dev) biblioteki OpenImageIO. Szczegóły zgłoszenia dostępne są w zgłoszeniu GitHub Issues #4551.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpenimageio
APPOpenimageio3.1.0.0
Powiązane podatności
Heap overflow w OpenImageIO przez komponent fmath.h
Heap overflow w OpenImageIO poprzez komponent Fetch64
Buffer Overflow vulnerability in OpenImageIO oiio v.2.4.12.0 allows a remote attacker to execute arbitrary cod...
A heap based buffer overflow vulnerability exists in tile decoding code of TIFF image parser in OpenImageIO ma...
A heap out-of-bounds write vulnerability exists in the way OpenImageIO v2.3.19.0 processes RLE encoded BMP ima...