Vulnerabilidad en PDFio (CVE-2024-42358)

PDFio es una librería C sencilla para leer y escribir archivos PDF. Hay una vulnerabilidad de denegación de servicio (DOS) en el analizador TTF. Los archivos TTF creados con fines malintencionados pueden hacer que el programa utilice el 100 % de la memoria y entre en un bucle infinito. Esto también puede provocar una vulnerabilidad de desbordamiento del búfer del montón. Se produce un bucle infinito en la función read_camp por el valor de nGroups. La librería ttf.h es vulnerable. Se extrae del archivo un valor llamado nGroups y, al cambiar ese valor, puede hacer que el programa utilice el 100% de la memoria e ingrese en un bucle infinito. Si el valor de nGroups en el archivo es pequeño, no se producirá un bucle infinito. Esta librería, ya sea que se use como binario independiente o como parte de otra aplicación, es vulnerable a ataques de DOS al analizar ciertos tipos de archivos. Los sistemas automatizados, incluidos los servidores web que utilizan este código para convertir envíos de PDF en texto plano, pueden recibir DOS si un atacante carga un archivo TTF malicioso. Este problema se solucionó en la versión 1.3.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.