Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por un atacante remoto para comprometer las aplicaciones y sistemas que usen esta librería.
El formato de imagen Portable
Network Graphics o PNG se usa como una alternativa a otros formatos de imagen,
como el popular GIF (Graphics Interchange Format). El uso de este tipo de
imágenes cada vez es más habitual y libpng es una librería disponible para
desarrolladores de aplicaciones para soportar de forma sencilla el formato de
imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede
estar afectada.
El fallo (con CVE-2015-8126)
reside en un desbordamiento de búfer en las funciones "png_set_PLTE"
y " png_get_PLTE" al procesar una imagen maliciosa. Un atacante
remoto podría aprovechar este problema para ejecutar código arbitrario.
Se han publicado las versiones 1.6.19, 1.5.24, 1.4.17, 1.2.54 y 1.0.64
de la librería, disponibles desde http://libpng.sourceforge.net/
De igual forma, en breve
veremos la actualización de múltiples aplicaciones para incluir la corrección
de esta vulnerabilidad.
Más información:
- CVE-2015-8126 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8126
- libpng buffer overflow in png_set_PLTE http://www.openwall.com/lists/oss-security/2015/11/12/2