Vulnérabilité dans la libraire libefix sous Android et Linux

Date de publication : 29/09/2022

CVE-2020-0452[Score CVSS v3 : 9.8] : Une vulnérabilité critique a été corrigée dans la libraire EXIF libefix. Son exploitation peut permettre à un attaquant distant et non-authentifié d’injecter du code arbitraire, à partir d’une application utilisant libefix, sur les dispositifs vulnérables. Cette faille est causée par un débordement d’entier permettant l’écriture hors de la zone mémoire allouée à libefix.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de code arbitraire

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Il n’existe pas de code d’exploitation disponible à l’heure actuelle.

Composants vulnérables

Toutes les versions de libefix antérieures à la version 0.6.22 sont impactées par ces vulnérabilités.

Les versions d’Android 8.0, 8.1, 9.0, 10.0 et 11.0 peuvent utiliser une version de libefix vulnérable.

CVE

CVE-2020-0452

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour libefix vers la version 0.6.22 ou une version supérieure.

Solution de contournement

Il n’existe pas de solution de contournement à l’heure actuelle.

Liens

Bulletin de sécurité RedHat RHSA-2020:5395