Vendor Status Note JVNCIAC-R-311

FreeType に整数オーバーフローの脆弱性

概要

フォント処理エンジン FreeType には、整数オーバーフローの脆弱性があります。

影響を受けるシステム
 - FreeType 2.3.4 およびそれ以前

想定される影響

遠隔の第三者が細工した TTF ファイルを FreeType を使用するプログラムで開かせることで、ユーザの権限で任意のコードを実行する可能性があります。

ベンダ情報

ベンダリンク更新日
The FreeType ProjectRelease Name: 2.3.5
DebianDebian Security Advisory DSA-1302
freetype -- integer overflow
Debian Security Advisory DSA-1334
freetype -- integer overflow
Red HatRed Hat Security Advisory RHSA-2007:0403
Moderate: freetype security update
サン・マイクロシステムズSun Alert Notification 102967
Integer Overflow and Heap-Based Buffer Overflow Vulnerability in 3rd Party Module (Freetype)
参考情報

  1. ISS X-Force Database: freetype-ttgload-bo(34431)
    FreeType truetype/ttgload.c buffer overflow
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2007-2901 ( 2007-08-01 )
CIAC BulletinR-311 FreeType Vulnerability ( 2007-07-19 )
CVE2007-2754 [CVE+] XF34431
PGP署名JVNCIAC-R-311.html.sig
登録日16:37 2007/08/15
更新日16:37 2007/08/15

Copyright(C) 2002-2009 Keio Univ. All rights reserved.