Обнаружены опасные уязвимости в библиотеке Libgraphite


CiscoИсследователи из компании Cisco обнаружили уязвимости в библиотеке libgraphite - библиотеке, ответственной за обработку и отображение шрифтов во многих приложениях в Linux и Windows. Выявленные ошибки затрагивают работу клиентских и серверных компьютеров, позволяя удаленному злоумышленнику выполнить произвольный код.

Установлено, что уязвимости могут быть проэксплуатированы в любом приложении, которое использует библиотеку libgraphite версии 2-1.2.4 для загрузки шрифтов TrueType (формат .ttf). Однако, для успешной эксплуатации уязвимости программа должна обработать страницу со специально сформированным вредоносным шрифтом.

Всего в библиотеке присутствует четыре уязвимости:

  • CVE-2016-1521;
  • CVE-2016-1522;
  • CVE-2016-1523;
  • CVE-2016-1526.


Ошибки позволяют выполнить произвольный код на целевой системе, осуществить DoS-атаку и раскрыть данные.

Из них наиболее опасной является уязвимость CVE-2016-1521 - позволяет скомпрометировать систему. Ошибка существует из-за выхода за пределы памяти, вызванного отсутствием проверки значения goto в коде библиотеки.

Уязвимость CVE-2016-1522 - также позволяет выполнить на системе произвольный код. Однако для эксплуатации данной ошибки необходимо обработать страницу со специально сформированным вредоносным шрифтом. Операция приведет к переполнению буфера.

Уязвимости CVE-2016-1523 и CVE-2016-1526 - менее опасны. Они позволяют осуществить DoS-атаку и раскрыть данные.


Обновлено (10.02.2016 20:51)