Vulnérabilité dans ICU
Date de publication :
Une vulnérabilité a été découverte dans icu, une bibliothèque logicielle proposant des outils pour la manipulation de caractères unicode. Un attaquant distant exploitant cette vulnérabilité peut provoquer un dépassement de tas, menant à un plantage du programme (déni de service), voire à une exécution de code arbitraire.
CVE-2020-10531 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans icu, bibliothèque logicielle pour C/C++. Un dépassement d’entier menant à un dépassement de tas peut permettre à un attaquant distant de provoquer un déni de service via le plantage du programme, voire de potentiellement exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement pour l’instant
Composants vulnérables
- icu jusqu’à la version 66.1
CVE
- CVE-2020-10531
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour icu vers la version 66.1 minimum
Les logiciels intégrant icu de façon statique doivent être mis à jour en conséquence (e.g. Google Chrome vulnérable avant la version 80.0.3987.122)
Solution de contournement
Aucune solution de contournement n’est disponible