URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 106739
[ Назад ]

Исходное сообщение
"Уязвимость в библиотеке обработки шрифтов Libgraphite"
Отправлено opennews , 15-Фев-16 23:22

Разработчик из Cisco Talos обнаружил несколько уязвимостей (http://blog.talosintel.com/2016/02/vulnerability-spotlight-l...) (CVE-2016-1521 (https://security-tracker.debian.org/tracker/CVE-2016-1521), CVE-2016-1522 (https://security-tracker.debian.org/tracker/CVE-2016-1522), CVE-2016-1523 (https://security-tracker.debian.org/tracker/CVE-2016-1523), CVE-2016-1526 (https://security-tracker.debian.org/tracker/CVE-2016-1526)) в библиотеке обработки шрифтов Graphite2, которая используется в большом количестве открытых приложений. Уязвимыми на данный момент являются Mozilla Firefox 38 ESR, OpenOffice и другие программы, использующие библиотеку. Уязвимости проявляются при обработке средствами библиотеки специально подготовленного Graphite-шрифта.

Две наиболее опасные проблемы приводят выходу за пределы границы буфера, что в теории позволяет атакующему выполнить произвольный код и получить доступ к системе под правами пользователя, запускающего приложение. Наличие узявимости подтверждено (https://security-tracker.debian.org/tracker/CVE-2016-1523) в Libgraphite 2 1.2.4, ветка 1.3.x проблемам не подвержена. Уязвимости исправлены (https://www.opennet.me/opennews/art.shtml?num=43859) в Firefox ESR 38.6.1 (Firefox 43 и 44 использует ветку ibgraphite 2 1.3, не подверженную проблеме).
URL: http://blog.talosintel.com/2016/02/vulnerability-spotlight-l...
Новость: http://www.opennet.me/opennews/art.shtml?num=43878

Содержание

Уязвимость в библиотеке обработки шрифтов Libgraphite,Аноним, 23:22 , 15-Фев-16
- Уязвимость в библиотеке обработки шрифтов Libgraphite,Аноним, 00:15 , 16-Фев-16
Уязвимость в библиотеке обработки шрифтов Libgraphite,Аноним, 23:26 , 15-Фев-16
Уязвимость в библиотеке обработки шрифтов Libgraphite,Аноним, 00:03 , 16-Фев-16

Сообщения в этом обсуждении

"Уязвимость в библиотеке обработки шрифтов Libgraphite"
Отправлено Аноним , 15-Фев-16 23:22

Давайте ещё через год новости писать — полторы недели прошло. Если проворонили новость, то не надо потом протухшую выдавать.

"Уязвимость в библиотеке обработки шрифтов Libgraphite"
Отправлено Аноним , 16-Фев-16 00:15

> Давайте ещё через год новости писать — полторы недели прошло. Если проворонили
> новость, то не надо потом протухшую выдавать.
Исправлений в дистрибутивах ещё нет, так что это пока zero-day проблема. Только Firefox обновился.
https://security-tracker.debian.org/tracker/DSA-3477-1
Debian/oldstable packages graphite2, iceweasel are vulnerable.
Debian/stable packages graphite2, iceweasel are vulnerable.
https://bugzilla.redhat.com/show_bug.cgi?id=1305814
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-20...
https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-1523

"Уязвимость в библиотеке обработки шрифтов Libgraphite"
Отправлено Аноним , 15-Фев-16 23:26

похожая новость уже была
https://www.opennet.me/opennews/art.shtml?num=43859

"Уязвимость в библиотеке обработки шрифтов Libgraphite"
Отправлено Аноним , 16-Фев-16 00:03

циска берёт реванш?