Avis du CERTA : Vulnérabilité dans IrfanView
octobre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* contournement de la politique de sécurité.
2 Systèmes affectés
* IrfanView version 3.99 ;
* IrfanView version 4.00.
3 Résumé
Une vulnérabilité a été identifiée dans le logiciel de manipulation d’images
IrfanView. Elle permettrait à une personne malveillante d’exécuter, par le
biais d’un fichier spécialement construit, du code arbitraire sur le système
ayant une version vulnérable.
4 Description
Une vulnérabilité a été identifiée dans le logiciel de manipulation d’images
IrfanView. Il ne manipulerait pas correctement des fichiers au format .PAL
définissant des palettes de couleurs.
Cette vulnérabilité pourrait être exploitée par une personne malveillante avec
un fichier .pal spécialement construit. Son importation dans une version
d’IrfanView vulnérable permettrait alors l’exécution de code sur le système.
5 Solution
Se référer au bulletin de mise à jour pour l’obtention des correctifs (cf.
section Documentation).
6 Documentation
* Avis de changement de version 4.10 IrfanView du 15 octobre 2007 :
* Alerte de Secunia numéro 2007-71 du 16 octobre 2007 :
http://secunia.com/secunia_research/2007-71/advisory/
* Référence CVE CVE-2007-4343 :