Een kwetsbaarheid, aangeduid als CVE-2025-8534, is ontdekt in libtiff versie 4.6.0, specifiek in de functie PS_Lvl2page van het bestand tools/tiff2ps.c. Deze kwetsbaarheid kan leiden tot een null pointer dereference, wat kan resulteren in een Denial of Service (DoS). Hoewel de aanvalslastigheid hoog is, kan het exploit openbaar worden gemaakt en mogelijk worden misbruikt in een lokale omgeving.
Overzicht
Het probleem bevindt zich in de module tiff2ps binnen libtiff. Een succesvolle exploit kan de applicatie laten crashen zonder toegang te krijgen tot gevoelige informatie. De aanvaller moet zich echter lokaal bevinden en uitdagende technieken gebruiken, gegeven de hoge aanvalscomplexiteit.
Aanbevelingen
- Voer de nieuwste patch in zoals beschreven in de commit 6ba36f159fd396ad11bf6b7874554197736ecc8b om deze kwetsbaarheid te mitigeren.
- Controleer altijd of
DEFER_STRILE_LOADofTIFFOpen(.. "rD")strikt noodzakelijk zijn voordat u deze gebruikt.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8534?
Dit is een beveiligingslek geïdentificeerd in libtiff 4.6.0 waar een null pointer dereference aanval mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-8534?
Alle systemen waarop libtiff versie 4.6.0 is geïnstalleerd en gebruik maken van de tiff2ps module kunnen kwetsbaar zijn.
Bestaat er al een patch of beveiligingsupdate?
Ja, de patch is beschikbaar en kan gevonden worden in de GitLab repository. Het wordt sterk aanbevolen om deze zo spoedig mogelijk toe te passen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan waarschijnlijk een Denial of Service veroorzaken waardoor de applicatie crasht zonder toegang te krijgen tot andere gevoelige informatie.
