CERT-FI haavoittuvuustiedote 122/2010

9.8.2010

Haavoittuvuuksia FreeType-kirjastossa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset - matkaviestimet - sulautetut järjestelmät	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

FreeType on yleisesti kirjasintyyppien käsittelyyn käytetty avoimen lähdekoodin kirjasto. Sen Compact Font Format (CFF) -tyyppisten kirjasinten käsittelystä on löydetty haavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuuksiin on julkistettu Applen laitteita vastaan toimiva hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

• FreeType 2.41 ja sitä aikaisemmat versiot
• Apple iOS 3.x ja 4.x sarjan versiot
• Foxit Reader for Windows ennen versiota 4.1.1.080

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva kirjasto, tai sitä käyttävä sovellus. Linux-jakelujen käyttäjien osalta suositeltavin tapa päivittämiseen on jakelijan tarjoamat päivityspalvelut.

LISÄTIETOA:

• CVE-2010-1797
• http://www.kb.cert.org/vuls/id/275247
• http://www.vupen.com/english/reference-2010-2020-1.php
• http://git.savannah.gnu.org/cgit/freetype/freetype2.git/commit/?id=11d65e8a1f1f14e56148fd991965424d9bd1cdbc
• http://www.foxitsoftware.com/pdf/reader/security_bulletins.php#iphone
  

PÄIVITYSHISTORIA:

9.8.2010, kello 12.53: Julkaistu

Sivua päivitetty 16.12.2011

Tulostusversio