iccDEV provides a set of libraries and tools for working with ICC color management profiles. Prior to version 2.3.1.6, there is a heap-buffer-overflow (HBO) in icAnsiToUtf8() in the XML conversion path. The issue is triggered by a crafted ICC profile which causes icAnsiToUtf8(std::string&, char const*) to treat an input buffer as a C-string and call operations that rely on strlen()/null-termination. AddressSanitizer reports an out-of-bounds READ of size 115 past a 114-byte heap allocation, with the failure observed while running the iccToXml tool. This issue has been patched in version 2.3.1.6.

iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, existe un desbordamiento de búfer de pila (HBO) en icAnsiToUtf8() en la ruta de conversión XML. El problema se activa por un perfil ICC manipulado que hace que icAnsiToUtf8(std::string&, char const*) trate un búfer de entrada como una cadena C y llame a operaciones que dependen de strlen()/terminación nula. AddressSanitizer informa de una lectura fuera de límites de tamaño 115 más allá de una asignación de pila de 114 bytes, observándose el fallo al ejecutar la herramienta iccToXml. Este problema ha sido parcheado en la versión 2.3.1.6.