CVE-2026-34546iccDEV是一套用于处理ICC颜色配置文件的常用库和工具。在2.3.1.6版本之前,其组件iccTiffDump在处理TIFF文件时存在安全漏洞。攻击者可利用精心构造的恶意TIFF输入文件,触发处理过程中的除以零未定义行为。这将导致目标程序崩溃或服务停止响应,从而造成拒绝服务。官方已在2.3.1.6版本中修复了此问题,建议用户及时更新。
该漏洞位于iccDEV项目中的TIFF处理模块,具体影响iccTiffDump工具及其依赖的库函数。漏洞的根源在于代码在处理TIFF文件头或图像数据块时,缺少对关键参数的健壮性校验。当解析器读取TIFF文件的特定标签(例如与图像尺寸或采样率相关的标签)并将其作为除数进行后续的数学运算时,如果该参数为零,且代码中未预先检查除数是否为零,便会触发除零异常。在底层实现中,这种情况属于未定义行为(UB),可能导致程序异常终止。根据CVSS向量分析,攻击复杂度低,无需权限和用户交互,但受限于本地攻击向量。攻击者需在本地环境执行恶意代码或通过其他手段诱导受害者打开特制的TIFF文件,从而利用该漏洞造成应用程序崩溃,导致拒绝服务,影响系统的可用性,但不影响机密性和完整性。