Blackmagic corrige les failles critiques d’exécution du code DaVinci Resolve

Blackmagic fixes critical DaVinci Resolve code execution flaws

Blackmagic Software a récemment corrigé deux failles de sécurité dans le logiciel très populaire DaVinci Resolve qui permettrait aux attaquants d’obtenir l’exécution de code sur des systèmes non corrigés.

DaVinci Résoudre est une plate-forme logicielle gratuite qui combine le montage vidéo et la correction des couleurs, des effets visuels, des animations graphiques et des outils de post-production audio dans une seule solution.

Comme le prétend son développeur Blackmagic, DaVinci Resolve est « la solution d’édition la plus populaire d’Hollywood » pour Mac, Windows et Linux.

Défauts critiques d’exécution de code à distance

Les deux failles de sécurité d’exécution de code à distance (RCE), suivies comme CVE-2021-40417 et CVE-2021-40418, ont été découverts par les chercheurs en sécurité de Cisco Talos et sont évalués avec un Score de gravité CVSSv3 de 9,8/10.

Ils sont tous deux causés par des faiblesses trouvées dans le service DPDecoder de DaVinci Resolve et sont déclenchés par un dépassement de mémoire tampon basé sur le tas lors du décodage d’un fichier vidéo ou un UUID incorrect lors de l’analyse de fichiers vidéo.

« [CVE-2021-40417] est une vulnérabilité de dépassement de mémoire tampon basée sur le tas qui se produit lorsque l’application est confrontée à une condition de dépassement d’entier qui conduit à une extension de signe lors de la tentative de décodage d’un fichier vidéo », Cisco Talos expliqué.

« Alternativement, [CVE-2021-40418] pourrait également conduire à l’exécution de code, mais est plutôt déclenché à la suite d’un membre d’objet non initialisé à la suite d’un UUID incorrect. »

Les bugs peuvent être exploités par des acteurs de menace distants dans des attaques de faible complexité, avec une exploitation réussie ne nécessitant pas d’authentification ou d’interaction de l’utilisateur.

Patchs disponibles

Cisco Talos a découvert les deux vulnérabilités d’exécution de code lors de l’analyse de DaVinci Resolve, version 17.3.1.0005.

Blackmagic a depuis corrigé les deux bugs, et il est conseillé aux utilisateurs de mettre à jour DaVinci Resolve 17.4.3, le dernière version publiée pour leur plateforme, dans les plus brefs délais.

« Cisco Talos a travaillé avec Blackmagic pour s’assurer que ces problèmes sont résolus et qu’une mise à jour est disponible pour les clients concernés », a déclaré l’équipe de Cisco Talos.

Vous pouvez trouver des informations détaillées sur la façon d’installer le logiciel DaVinci Resolve sur votre appareil dans le Journal des modifications de DaVinci Resolve 17.4.3, publié plus tôt cette semaine.