Vulnerabilidades de ejecución de código en google picasa

Hossein Lotfi(Secunia Researcher) ha descubierto varias vulnerabilidades
en Google Picasa por la que un atacante remoto podría lograr la
ejecución de código en el sistema de los usuarios.

Picasa es un software de tratamiento y gestión de fotografías de Google,
con el que se puede organizar, editar e imprimir imágenes en sistemas de
escritorio.

Los dos primeros problemas se deben a errores de desbordamientos de
enteros en en el módulo 'Picasa3.exe', un atacante remoto podría crear
etiquetas 'JPEG' (CVE-2013-5349) o 'TIFF'(CVE-2013-5357), especialmente
modificadas para provocar un desbordamiento de memoria basada en heap.

El problema con CVE-2013-5358 se debe a un error de limites en el modulo
'Picasa3.exe', un atacante remoto podría provocar una corrupción de
memoria a través de etiquetas 'TIFF' especialmente modificadas.

Finalmente, la vulnerabilidad con CVE-2013-5359 reside en un error de
desbordamiento de memoria intermedia basada en pila en el módulo
'Picasa3.exe', un atacante remoto podàia llegar a ejecutar código
arbitrario a través de ficheros de imagenes sin comprimir especialmente
modificados.

Se recomienda actualizar a la versión 3.9.0 Build 137.69.


Fuente