Фахівці підрозділу компанії Cisco по ІБ-дослідженням Talos виявили декілька вразливостей в бібліотеці libgraphite, відповідальної за обробку і відображення шрифтів в багатьох додатках в Linux і Windows. Помилки зачіпають роботу клієнтських і серверних комп'ютерів і дозволяють віддаленому зловмиснику виконати довільний код.

Уразливості можуть бути проексплуатувати в будь-якому додатку, що використовує бібліотеку libgraphite версії 2-1. 4 для завантаження шрифтів TrueType (формат. ttf). Для успішної експлуатації програма повинна обробити сторінку зі спеціально сформованим шкідливим шрифтом.

У бібліотеці існують чотири уразливості: CVE-2016-1521, CVE-2016-1522, CVE-2016-1523 і CVE-2016-1526. Помилки дозволяють виконати довільний код на цільовій системі, здійснити DoS-атаку і розкрити дані.

Найбільш небезпечна уразливість (CVE-2016-1521) дозволяє скомпрометувати систему. Помилка існує через вихід за межі пам'яті, викликаного відсутністю перевірки значення goto в коді бібліотеки.

Уразливість CVE-2016-1522 також дозволяє виконати на системі довільний код. Для експлуатації помилки необхідно обробити сторінку зі спеціально сформованим шкідливим шрифтом. Операція призведе до переповнення буфера.

Менш небезпечні уразливості (CVE-2016-1523 і CVE-2016-1526) дозволяють здійснити DoS-атаку і розкрити дані.