[Gutl-l] Fw: Ejecución de código arbitrario en GIMP [Hispasec @unaaldia]

Mon, 11 Jul 2016 08:24:30 -0700 

----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----

Date: Fri, 08 Jul 2016 23:00:06 -0400
From: Salcocho Noticioso <feedblas...@hcg.sld.cu>
To: laz...@hcg.sld.cu
Subject: Ejecución de código arbitrario en GIMP [Hispasec @unaaldia]
X-Mailer: feedblaster.rb - ruby 2.3.1p112 (2016-04-26 revision 54768) 
[x86_64-linux]

Ejecución de código arbitrario en GIMP

Se ha anunciado una vulnerabilidad en GIMP (GNU Image Manipulation Program) que
podría permitir la ejecución de código arbitrario.

[gimp]
GIMP (GNU Image Manipulation Program) es un conocido programa libre y gratuito
para edición y manipulación de gráficos e imágenes en forma de mapa de bits,
tanto dibujos como fotografías. Está disponible para un gran número de sistemas
operativos, como Unix, GNU/Linux, FreeBSD, Solaris, Microsoft Windows y Mac OS
X, entre otros.

El problema, con CVE-2016-4994, reside en el tratamiento de archivos XCF de
forma que cuando el usuario lo abra provoque un error de uso de memoria después
de liberarla al analizar los canales y las propiedades de las capas. La
vulnerabilidad podría permitir la ejecución de código arbitrario en los
sistemas afectados, con los privilegios del usuario atacado.

Se ha publicado una actualización en forma de código disponible en:
https://git.gnome.org/browse/gimp/commit/?id=
e82aaa4b4ee0703c879e35ea9321fff6be3e9b6f
Ubuntu ha publicadoactualizaciones de los paquetes de GIMP en:
Ubuntu 15.10: https://launchpad.net/ubuntu/+source/gimp/2.8.14-1ubuntu2.1
Ubuntu 14.04 LTS: https://launchpad.net/ubuntu/+source/gimp/2.8.10-0ubuntu1.1
Ubuntu 12.04 LTS: https://launchpad.net/ubuntu/+source/gimp/2.6.12-1ubuntu1.4

Más información:

(CVE-2016-4994) Multiple Use-After-Free when parsing XCF channel and layer
properties
https://git.gnome.org/browse/gimp/commit/?id=
e82aaa4b4ee0703c879e35ea9321fff6be3e9b6f

USN-3025-1: GIMP vulnerability
http://www.ubuntu.com/usn/usn-3025-1/



                                                                 Antonio Ropero
                                                          anton...@hispasec.com
                                                              Twitter: @aropero
*

----- End forwarded message -----

-- 
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.



______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a