LibTIFF è una libreria open-source utilizzabile sui sistemi operativi Windows e UNIX-based, inclusi Linux e macOS, che consente di leggere, scrivere e manipolare file in formato Tagged Image File Format (TIFF). Il formato TIFF consente di memorizzare in un file immagini grafiche raster ed è molto utilizzato in editoria, da grafici e fotografi.
I ricercatori di Cisco Talos hanno scoperto tre diverse vulnerablità zero-day in LibTIFF. Le più gravi possono essere sfruttate da un attaccante mediante file TIFF opportunamente predisposti, che causano condizioni di corruzione della memoria con conseguente potenziale esecuzione di codice arbitrario.
Dettagli delle vulnerabilità:
LibTIFF tiff2pdf JPEG Compression Tables Heap Buffer Overflow (CVE-2016-5652)
LibTIFF FAX IFD Entry Parsing Type Confusion (CVE-2016-8331)
LibTIFF PixarLogDecode Heap Buffer Overflow (CVE-2016-5875)
Queste vulnerabilità affliggono la versione più recente di LibTIFF (4.0.6), che è stata rilasciata nel Settembre 2015. Molte applicazioni popolari, come ad esempio Google Chrome, e le più diffuse distribuzioni Linux incorporano questa libreria e risultano quindi vulnerabili.
Non è ancora stato rilasciato un aggiornamento ufficiale di LibTIFF che risolva queste vulnerabilità. È possibile ottenere patch per le sole vulnerabilità CVE-2016-5652 e CVE-2016-5875 direttamente dal repository Git di LibTIFF.
Per la vulnerabilità CVE-2016-8331 non è al momento disponibile nessuna soluzione.