Linuxで利用の「libpng」と「Xpdf」に深刻な脆弱性

Linuxで利用されている画像処理プログラム「libpng」と「Xpdf」に複数の脆弱性が発見された。

[ITmedia]

　PNG形式の画像を処理するライブラリ「libpng」と、オープンソースのPDFファイルビューワー「Xpdf」に複数の脆弱性が報告された。悪用されるとシステム乗っ取りにつながる恐れがあるといい、Secuniaではいずれも「非常に深刻」と評価している。

　Secuniaが10月22日公開したアドバイザリーによると、libpngでは「png_handle_tRNS()」機能に境界エラーの脆弱性、「png_read_png()」機能に整数オーバーフローの脆弱性が存在する。これが原因で、細工を施したPNG形式の画像を閲覧させることによって、バッファオーバーフローを誘発させることが可能になり、任意のコードを実行される恐れがある。

　問題の回避策としてSecuniaでは、バージョン1.0.17か1.2.7へのアップデートを勧めている。

　一方、Xpdfの脆弱性は、整数オーバーフロー問題が原因で、細工を施したPDF文書の閲覧によって任意のコードを実行される恐れがあるというもの。このほかロジックエラー問題も報告されており、無限ループを引き起こして大量のシステムリソースが消費される可能性がある。

　Secuniaでは22日現在、この問題に対応した公式なアップデートの存在は確認していないが、各種Linuxディストリビューションでは問題に対応しているという。