Cisco đã phát hành phiên bản mới của bộ phần mềm diệt vi-rút ClamAV miễn phí, 1.4.3 và 1.0.98, để giải quyết các lỗ hổng, trong đó có lỗ hổng có thể dẫn đến việc kẻ tấn công thực thi mã khi quét nội dung được thiết kế đặc biệt.
- CVE-2025-20260 — lỗi trong mã phân tích tệp PDF khiến dữ liệu được ghi vượt quá vùng đệm được phân bổ. Sự cố này thể hiện ở các cấu hình mà cài đặt kích thước tệp tối đa và kích thước quét lần lượt bằng hoặc lớn hơn 1024 MB và 1025 MB. Có thể khai thác lỗ hổng này bắt đầu từ bản phát hành 1.0.0 và có thể dẫn đến thực thi mã với các đặc quyền của quy trình ClamAV.
- CVE-2025-20234 — Một lỗi trong mã phân tích tệp UDF dẫn đến việc đọc dữ liệu từ vùng bộ nhớ bên ngoài vùng đệm được phân bổ. Sự cố có thể dẫn đến sự cố quy trình hoặc rò rỉ dữ liệu từ bộ nhớ vào tệp tạm thời. Lỗ hổng này biểu hiện bắt đầu từ phiên bản 1.2.0.
- Truy cập sau khi giải phóng trong trình giải nén xz archive (CVE chưa được gán). Sự cố này là do lỗi trong thư viện lzma-sdk được nhúng trong mã ClamAV, lỗi này đã được khắc phục trong dự án chính trong lzma-sdk 18.03, được phát hành vào năm 2018 mà không đề cập đến bản sửa lỗi. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản ClamAV kể từ 0.99.4.
Nguồn: opennet.ru
