Een kritieke kwetsbaarheid is ontdekt in LibTIFF versie 4.7.0 die leidt tot een geheugenlek in de tiffcmp-module. Dit lek, aangeduid als CVE-2025-9165, kan worden uitgebuit via lokaal uitgevoerde manipulatie en kan de beschikbaarheid van het systeem aanzienlijk beïnvloeden.
Overzicht
Het probleem in de LibTIFF wordt veroorzaakt door een fout in de functies _TIFFmallocExt, _TIFFCheckRealloc, TIFFHashSetNew, en InitCCITTFax3 in de bestand tools/tiffcmp.c. Deze kwetsbaarheid laat toe een memory leak te veroorzaken, wat kan leiden tot een Denial of Service (DoS)-toestand voor systemen die vatbaar zijn. De aanval vereist lokale toegang door de aanvaller.
Aanbevelingen
- Pas zo snel mogelijk de beschikbare patch met ID
ed141286a37f6e5ddafb5069347ff5d587e7a4e0toe om deze kwetsbaarheid te verhelpen. Deze is beschikbaar via GitLab.
Bronnen
- VDB-320543 | LibTIFF tiffcmp tiffcmp.c InitCCITTFax3 memory leak
- GitLab issue-tracking
- GitLab patch merge request
- Publiek exploitbestand
Vraag en Antwoord
Wat is CVE-2025-9165?
Het betreft een geheugenlek in de LibTIFF-software, specifiek binnen de tiffcmp module, dat kan leiden tot een Denial of Service als het wordt uitgebuit.
Welke systemen zijn kwetsbaar voor CVE-2025-9165?
Systemen die gebruikmaken van de LibTIFF versie 4.7.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar die het geheugenlek verhelpt. Het patch-commit op GitLab kan hier worden gevonden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk een uitval van de dienst veroorzaken door het geheugen van het systeem te laten lekken.
