Inicio / Content / Boletín de INCIBE-CERT del 03-02-2022

Boletín de INCIBE-CERT del 03-02-2022

Múltiples vulnerabilidades en Sante DICOM Viewer Pro

Fecha de publicación: 
03/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

DICOM Viewer Pro, versiones anteriores a 11.9.2.

Descripción: 

Tran Van Khang (khangkito) de VinCSS, y Mat Powell de Trend Micro ZDI, han notificado 7 vulnerabilidades de severidad alta que afectan a DICOM Viewer Pro de Sante. Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar código arbitrario en caso de que el usuario visite una web maliciosa o abra un archivo infectado.

Solución: 

Actualizar DICOM Viewer Pro a la versión 11.9.2.

Detalle: 
  • El fallo específico existe en el análisis sintáctico de los archivos J2K. Los datos elaborados en un archivo J2K podrían desencadenar una escritura más allá del final de un búfer asignado (out-of-bounds write). Se han asignado los identificadores CVE-2022-24056, CVE-2022-24057 y CVE-2022-24058 para estas vulnerabilidades.
  • El fallo específico existe en el análisis de los archivos DCM. Los datos elaborados en un archivo DCM podrían desencadenar una escritura más allá del final de un búfer asignado (out-of-bounds write). Se ha asignado el identificador CVE-2022-24059 para esta vulnerabilidad.
  • El fallo específico existe en el análisis sintáctico de los archivos JP2. El problema se debe a la falta de validación de la existencia de un objeto antes de realizar operaciones con él. Se ha asignado el identificador CVE-2022-24062 para esta vulnerabilidad.
  • El fallo específico existe en el análisis sintáctico de los archivos JP2. El problema se debe a la falta de validación adecuada de los datos suministrados por el usuario, lo que podría dar lugar a una condición de corrupción de memoria. Se ha asignado el identificador CVE-2022-24063 para esta vulnerabilidad.
  • El fallo específico existe en el análisis de las imágenes J2K. Los datos elaborados en un archivo J2K podrían desencadenar una escritura más allá del final de un búfer asignado (out-of-bounds write). Se ha asignado el identificador CVE-2022-24064 para esta vulnerabilidad.

Encuesta valoración