PNG 圖片處理庫 libpng 曝出漏洞,已初步修復
圖片處理庫libpng日前曝出漏洞,且需要盡快得到修復。最大的問題在于,libpng的普及范圍實在太過廣泛——瀏覽器中任何與生成縮略圖相關的圖片處理任務外加文件查看工具、音樂播放器等每款操作系統都離不開的應用程序。
經過精心構建的圖片能夠導致應用甚至服務器進程發生崩潰。
首先強調,這不是什么好消息:圖片處理庫libpng日前曝出漏洞,且需要盡快得到修復。
最大的問題在于,libpng的普及范圍實在太過廣泛——瀏覽器中任何與生成縮略圖相關的圖片處理任務外加文件查看工具、音樂播放器等每款操作系統都離不開的應用程序。
就目前來講,該漏洞造成的影響還單純只是拒絕服務,但其后續影響絕不可能僅限于此。因為這項漏洞還允許攻擊者造成應用程序崩潰,而這正是惡意人士們實現進一步入侵的絕佳起點。
Libpng安全負責人Glenn Randers-Pehrson為該漏洞申報了通用漏洞披露(簡稱CVE)。他同時寫道:
“我針對所有libpng版本當中的png_set_PLTE/png_get_PLTE函數向CVE進行了安全漏洞申報。這些函數在寫入或者讀取 PNG文件時,無法為bit_depth小于8的對象檢查超出范圍的調色板。一部分應用程序可能會從文件頭數據塊(簡稱IHDR)當中讀取到這樣的數位色 深并為一套2^N調色板分配內存,在這種情況下即使位深低于8、libpng仍然會返回一個最高提供256色的調色板。
“目前libpng的1.6.19、1.5.24、1.4.17、1.2.54以及1.0.64等版本已經于今天(2015年11月12號)獲得了最新修復。大家可以閱讀libpng.sourceforge.net了解細節信息。”
(備注:我們訪問了該Sourceforge頁面,但其當時已經被眾多焦慮的軟件開發者所擠爆。)
這項漏洞被CVE評為7.5分。其易于利用,導致網絡面臨潛在風險,而且正如NIST所指出,其“允許在未經授權的情況下披露信息;允許未經授權的修改以及由此造成的服務中斷”。
稿源:E安全