VulDB: Adobe Photoshop CS4 11.x TIFF Handler Pufferüberlauf
Allgemein
scipID: 4131
Betroffen: Adobe Photoshop CS4 11.x
Veröffentlicht: 03.05.2010 (Tavis Ormandy)
Risiko: 
kritisch
Eintrag: 91.2% komplett
Erstellt: 19.05.2010
Aktualisiert: 03.09.2012
Beschreibung
Adobe Photoshop ist ein kommerzielles Bildbearbeitungsprogramm des US-amerikanischen Softwarehauses Adobe Systems. Im Bereich der professionellen Bildbearbeitung (Druckvorstufe) ist das Programm Marktführer. Photoshop ist Teil der Adobe Creative Suite, einer Sammlung von Grafik- und Designprogrammen und wie die meisten anderen Adobe-Anwendungen für Mac OS X und Microsoft Windows verfügbar. Der Researcher Tavis Ormandy beschreibt in einem Advisory eine Schwachstelle (Pufferüberlauf) in aktuellen Versionen der Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (64284), Secunia (SA39711) und SecurityFocus (BID 39849) dokumentiert.
Auch wenn der Angriffsvektor etwas umständlich ist, ist die vorliegende Schwachstelle aufgrund der hohen Popularität von Photoshop als durchaus kritisch zu betrachten. Der freigegebene Patch von Adobe sollte zeitnah eingespielt werden, um eine weitere Exponierung zu vermeiden.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: adobe.com
Timeline
06.04.2010 | CVE zugewiesen
03.05.2010 | Advisory veröffentlicht
03.05.2010 | OSVDB Eintrag erstellt
19.05.2010 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: adobe.com
Person: Tavis Ormandy
Firma: Google Security Team
Bestätigung: adobe.com
OSVDB: 64284
CVE: CVE-2010-1279 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 39711
SecurityFocus: 39849
Vupen: ADV-2010-1049
- Letzte Einträge
- Apple QuickTime DREF Atom Handler Pufferüberlauf [CVE-2013-1017]
- Apple QuickTime H.264 Handler Pufferüberlauf [CVE-2013-1018]
- Apple QuickTime MP3 File Handler Pufferüberlauf [CVE-2013-0989]
- Apple QuickTime Sorenson Codec Handler Pufferüberlauf [CVE-2013-1019]
- Apple QuickTime JPEG Handler Pufferüberlauf [CVE-2013-1020]
- Statistiken
- Archiv
