Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-00884

Опубликовано: 06 мар. 2017
Источник: fstec
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции parse_charstrings в type1/t1load.c библиотеки FreeType, которая не гарантирует, что шрифт содержит имя глифа, вызвана чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или оказать другое воздействие с помощью специально сформированного файла

Вендор

FreeType Project

Наименование ПО

FreeType

Версия ПО

до версии 2.7 (FreeType)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Apple Inc. MacOS X
Microsoft Corp Windows -
Microsoft Corp Windows -
Apple Inc. MacOS X

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
http://git.savannah.gnu.org/cgit/freetype/freetype2.git/tree/ChangeLog?h=VER-2-7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00334
Низкий

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-10244

CVSS3: 7.8
ubuntu
почти 9 лет назад

The parse_charstrings function in type1/t1load.c in FreeType 2 before 2.7 does not ensure that a font contains a glyph name, which allows remote attackers to cause a denial of service (heap-based buffer over-read) or possibly have unspecified other impact via a crafted file.

redhat логотип

CVE-2016-10244

CVSS3: 5.9
redhat
больше 9 лет назад

The parse_charstrings function in type1/t1load.c in FreeType 2 before 2.7 does not ensure that a font contains a glyph name, which allows remote attackers to cause a denial of service (heap-based buffer over-read) or possibly have unspecified other impact via a crafted file.

nvd логотип

CVE-2016-10244

CVSS3: 7.8
nvd
почти 9 лет назад

The parse_charstrings function in type1/t1load.c in FreeType 2 before 2.7 does not ensure that a font contains a glyph name, which allows remote attackers to cause a denial of service (heap-based buffer over-read) or possibly have unspecified other impact via a crafted file.

debian логотип

CVE-2016-10244

CVSS3: 7.8
debian
почти 9 лет назад

The parse_charstrings function in type1/t1load.c in FreeType 2 before ...

github логотип

GHSA-6vgf-3977-2x4f

CVSS3: 7.8
github
больше 3 лет назад

The parse_charstrings function in type1/t1load.c in FreeType 2 before 2.7 does not ensure that a font contains a glyph name, which allows remote attackers to cause a denial of service (heap-based buffer over-read) or possibly have unspecified other impact via a crafted file.

EPSS

Процентиль: 56%
0.00334
Низкий

6.8 Medium

CVSS2