Ejecución de código a través de libTIFF en Sony PlayStation Portable

Se ha descubierto una vulnerabilidad en Sony PlayStation Portable que puede ser aprovechada por atacantes para comprometer el sistema.

El fallo se debe a un error en la librería libTIFF a la hora de visualizar imágenes TIFF con Photo Viewer. Un desbordamiento de memoria intermedia puede llevar a la ejecución de código arbitrario. El fallo se ha confirmado en todas las versiones 2.x del firmware. (2.60, 2.00 y 2.80). Existe código público capaz de aprovechar la vulnerabilidad.

No es la primera vez que la consola portátil sufre un problema parecido. Hace justo un año, en septiembre de 2005, sufrió un fallo de seguridad también en la librería libTIFF que permitía la ejecución de código a través de una imagen especialmente manipulada.

LibTIFF es una librería gratuita muy utilizada en entornos UNIX que facilita la manipulación de imágenes en formato TIFF (Tag Image File Format). Su licencia le permite ser utilizada con cualquier intención, por lo que su popularidad le ha llevado hasta la consola portátil de Sony. No se aclara si se trata de un problema específico del dispositivo o está adaptado a partir de una vulnerabilidad genérica de libTIFF.

No existe parche oficial. Se recomienda no abrir imágenes que provengan de fuentes sospechosas.


Más Información:

Sony PSP TIFF Image Viewing Code Execution Vulnerability
http://noobz.eu/content/home.html#280806