Se ha
anunciado una vulnerabilidad en la librería libpng que podría ser aprovechada por un
atacante remoto para comprometer las aplicaciones y sistemas que usen esta
librería.
El formato de imagen Portable Network Graphics
o PNG se usa como una alternativa a otros formatos de imagen, como el popular
GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es
más habitual y libpng es una librería disponible para desarrolladores de
aplicaciones para soportar de forma sencilla el formato de imagen PNG.
Cualquier aplicación o sistema que haga uso de esta librería puede estar
afectada.
El fallo reside en un desbordamiento de búfer
en la función "png_combine_row()" al procesar una imagen maliciosa.
Un atacante remoto podría aprovechar este problema para ejecutar código
arbitrario.
Recomendación
- Se
han publicado las versiones 1.5.21 y 1.6.16 de la librería disponibles
desde ftp://ftp.simplesystems.org/pub/png/src y desde
http://libpng.sf.net
Más información:
- [png-mng-announce] libpng-1.5.21 and 1.6.16 are
available http://sourceforge.net/p/png-mng/mailman/message/33173461/