Actu
Avis du CERTA : Vulnérabilité dans ACDSee Photo Manager
février 2008 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance.
2 Systèmes affectés
* ACDSee Photo Manager 10.0 ;
* ACDSee Photo Manager 8.1 ;
* ACDSee Photo Manager 9.0/
3 Résumé
Une vulnérabilité a été identifiée dans l’outil de gestion de contenus
multimédia ACDSee Photo Manager. L’exploitation de cette dernière à distance
par une personne malveillante peut conduire à l’exécution de code arbitraire
sur le système vulnérable, ou à une perturbation du service.
4 Description
Une vulnérabilité a été identifiée dans l’outil de gestion de contenus
multimédia ACDSee Photo Manager. Elle concerne en particulier la manipulation
de fichiers au format .XBM (ou X-BitMap). Ce format est utilisé dans une
interface X (GUI) pour stocker des images associées au curseur ou aux icônes
par exemple. Il s’agit dun format d’image monochromatique encore interprété par
la plupart des navigateurs actuels.
L’avis de sécurité publié par ACD en décembre 2007 mentionne également les
formats XPM (textitXPixMap), PSP (Paint Shop Pro) et LHA.
Une personne malveillante pourrait exploiter cette vulnérabilité pour exécuter
à distance des commandes arbitraires sur le système vulnérable, ou du moins
perturber le fonctionnement du service.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Note technique ACDSee de référence 2800 publiée le 27 décembre 2007 :
http://www.acdsee.com/support/knowledgebase/article?id=2800
* Avis de sécurité Trend Micro publié le 25 janvier 2008 :
