PNG画像用ライブラリ「libpng」に複数の深刻な脆弱性

PNG形式の画像を処理するライブラリ「libpng」に、バッファオーバーフローを含め6種類の脆弱性が存在することが明らかになった。

[ITmedia]

　JPCERT/CCやUS-CERTは8月5日、PNG形式の画像を処理するライブラリ、「libpng」に、複数の脆弱性が存在するとして警告を発した。

　今回指摘された脆弱性は全部で6種類あり、中にはバッファオーバーフローなど深刻な問題が含まれている。これを悪用し、細工を施したPNG形式の画像を読み込ませることによって、アプリケーションをクラッシュさせたり、リモートから当該PCの権限を奪取し、任意のコードを実行させることも可能という。

　これらの脆弱性が存在するのは、libpng バージョン1.2.5以前。公開されている複数のパッチを適用するか、最新バージョンの1.2.6rc1／1.0.16rc1へとアップデートすることで、問題を修正できる。

　なおlibpngは、LinuxやMac OS X、FreeBSD、Solarisなど多くのOSに含まれている。既にRedHat、SuSE、FedoraなどいくつかのLinuxディストリビューションでは、libpngのアップデートを公開し始めた。JPCERT/CCの情報によると、この脆弱性を悪用した攻撃が行われたという報告はないというが、利用しているOSやアプリケーションの開発元で情報およびパッチを確認し、早期にアップデートを行うのが望ましい。

　また、8月5日18時時点では「準備中」となっているが、JPCERT/CCとIPAが運用する「JP Vendor Status Notes」にも、順次、ベンダーからの情報が掲載される見込みだ。