Foco de vulnerabilidad: ejecución de código, vulnerabilidades de corrupción de memoria en Accusoft ImageGear

Cisco Talos descubrió recientemente dos vulnerabilidades en Accusoft ImageGear. 

La biblioteca ImageGear es un conjunto de herramientas para desarrolladores de imágenes de documentos para ayudar a los usuarios con la conversión de imágenes, creación, edición y más. 

Existen vulnerabilidades en ciertas funciones de ImageGear que podrían permitir a un atacante ejecutar código en la máquina víctima o dañar la memoria de la aplicación.

Cisco Talos trabajó con Accusoft para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados.

Detalles de la Vulnerabilidad

Accusoft ImageGear TIFF handle_COMPRESSION_PACKBITS vulnerabilidad de corrupción de memoria  (TALOS-2020-1095 / CVE-2020-6151), corresponde a una vulnerabilidad de corrupción de memoria en la funcionalidad TIFF handle_COMPRESSION_PACKBITS de Accusoft ImageGear 19.7. Un archivo con formato incorrecto especialmente diseñado puede dañar la memoria. Un atacante puede proporcionar un archivo malicioso para activar esta vulnerabilidad.

Vulnerabilidad de ejecución de código Accusoft ImageGear DICOM parse_dicom_meta_info  (TALOS-2020-1096 / CVE-2020-6152), es una vulnerabilidad de ejecución de código en la funcionalidad DICOM parse_dicom_meta_info de Accusoft ImageGear 19.7. Un archivo con formato incorrecto especialmente diseñado puede provocar una escritura fuera de los límites. Un atacante puede desencadenar esta vulnerabilidad proporcionando a la víctima un archivo DICOM malicioso.

Talos probó y confirmó que estas vulnerabilidades afectan a Accusoft ImageGear, versión 9.7.