fontconfig任意代码执行漏洞（CVE-2016-5384）

fontconfig任意代码执行漏洞（CVE-2016-5384）
发布日期：2016-08-12
更新日期：2016-08-16

受影响系统：

fontconfig fontconfig < 2.12.1

描述：

CVE（CAN） ID: CVE-2016-5384

fontconfig是配置及自定义字体的程序库。

fontconfig 2.12.1之前版本未验证偏移，本地用户通过构造的缓存文件，可触发任意调用，然后双重释放，并执行任意代码。

<*来源：Tobias Stoeckmann
*>

建议：

厂商补丁：

fontconfig
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://cgit.freedesktop.org/fontconfig/commit/？id=7a4a5bd7897d216f0794ca9dbce0a4a5c9d14940

http://www.debian.org/security/2016/dsa-3644