1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-10 / xzgv |
| Date de Parution | 21 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| media-gfx/xzgv | < 0.8-r2 | >= 0.8-r2 | Toutes |
| media-gfx/zgv | < 5.8 | >= 5.8 | Toutes |
3. Synopsis
xzgv et zgv décodent les espaces de couleur CMYK/YCCK des images JPEG d'une façon incorrecte, qui peut être exploitée pour causer l'exécution d'une portion de code arbitraire.
4. Informations
xzgv et zgv sont des visualisateurs d'images.
5. Description
Andrea Barisani de l'équipe Gentoo Linux a découvert que xzgv et zgv allouent une zone mémoire insuffisante lors de l'affichage de certaines images (par exemples celles utilisant des espaces de couleurs YCCK ou CMYK), ce qui peut être exploité pour causer l'exécution d'une portion de code arbitraire.
6. Impact de la faille
En fournissant à xzgv ou zgv une image spécifiquement forgée, il est possible de faire exécuter une portion de code arbitraire lors de l'affichage de cette dernière.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommandé aux utilisateurs de xzgv de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=media-gfx/xzgv-0.8-r2"
Il est recommandé aux utilisateurs de zgv de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=media-gfx/zgv-5.8"
9. Références