Af Torben B. Sørensen, 04/01/17
Libpng bruges i applikationer, der viser eller gemmer billeder i PNG-formatet (Portable Network Graphics). Sårbarheden findes ikke i programmer, der kun viser billeder. Den kan findes i billedredigeringsprogrammer, men udviklerne kender ikke nogen, hvor den kan udnyttes uden at brugeren gør noget aktivt.
Sårbarheden opstår, hvis applikationen gemmer tekst i PNG-strukturen, sletter den og tilføjer den igen.
Fejlen er rettet i version 1.6.27, 1.5.28, 1.4.20, 1.2.57 og 1.0.67, der blev udsendt den 29. december. Sårbarheden har været i Libpng, siden funktionen til indsætning af tekst blev indført i juni 1995.
Slackware har udsendt en opdatering til Slackware, der fjerner sårbarheden.
Anbefaling
Opdater til en rettet version.
Links
- Libpng
- [slackware-security] libpng (SSA:2016-365-01)
- Libpng library gets fix for truly ancient bug, artikel fra The Register