Vulnérabilité dans la librairie JPEG libjpeg-turbo
Date de publication :
CVE-2020-17541 [Score CVSS v3 : 8.8]
Libjpeg-turbo présentent un dépassement de tampon basé sur la pile dans le composant "transform". Un attaquant distant et non authentifié peut envoyer un fichier jpeg malformé au service et provoquer une exécution de code arbitraire ou un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Toutes les versions de libjpeg-turbo antérieures à la version 2.0.5 sont impactées par cette vulnérabilité.
- Les logiciels Mozilla Firefox, Google Chrome, la suite bureautique LibreOffice, le logiciel de modélisation 3D Blender ainsi que le logiciel de traitmeent d’imafe ImageMagick utilisent libjpeg-turbo.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour libjpeg-turbo vers la version 2.0.5 ou ultérieure.
- Les logiciels utilisant libjpeg-turbo mentionnés ne sont pas impactés dans leurs versions récentes.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.