PNGデータのエンコード/デコード処理ライブラリ「libpng」に、DoS誘発につながる脆弱性が見つかり、フェンリルとLunascapが対応を明らかにした。
PNGデータのエンコード/デコード処理ライブラリ「libpng」にサービス停止(DoS)を誘発させる恐れのある脆弱性が見つかり、情報処理推進機構とJPCERTコーディネーションセンターが3月4日付で情報を公開した。
脆弱性は、特定のPNGファイルの処理に起因するもので、細工された補助チャンクが含まれるPNGファイルを処理する際に、膨大なメモリとCPUを消費する場合があり、DoSが誘発される恐れがある。
脆弱性はlibpng 1.4.0以前に存在しており、開発元のPNG Development Groupは2月27日に脆弱性へ対処した1.4.1、1.2.43、1.0.53を公開して、アップデートの適用もしくは回避策を実施するよう呼び掛けている。
国内では、フェンリルが無償ペイントソフト「PictBear」に脆弱なバージョンのlibpngを使用していたとして、更新版のPictBear 2.01をリリースした。またLunascapeは、ブラウザのLunascape6でエンジンにGeckoもしくはWebKitを利用している場合に影響を受けるとして、Tridentエンジンへの切り替えや、画像を読み込まない設定を実施するなどの回避策を適用するよう呼び掛けている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.