Se ha anunciado una vulnerabilidad en libpng que podría
ser aprovechada por atacantes remotos para provocar condiciones de denegación
de servicio en aplicaciones y sistemas que usen esta librería.
El formato de imagen Portable Network Graphics o PNG se usa
como una alternativa a otros formatos de imagen, como el popular GIF (Graphics
Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y
libpng es una librería disponible para desarrolladores de aplicaciones para
soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o
sistema que haga uso de esta librería puede estar afectada.
Datalle e Impacto de la vulnerabilidad
- El fallo (con CVE-2016-10087) reside en una desreferencia de puntero nulo en png_set_text_2() cuando una aplicación de edición de imágenes añade, elimina o edita chunks de texto a una imagen PNG. El problema no afecta los visualizadores puros, solo a editores que hagan uso de versiones de la librería hasta la 1.6.26, 1.5.27, 1.4.19, 1.2.56 y 1.0.66.
- Se han publicado las versiones 1.6.27, 1.5.28, 1.4.20, 1.2.57 y 1.0.67 de la librería, disponibles desde http://libpng.sourceforge.net/
- Libpng 1.6.27 - December 29, 2016 http://www.libpng.org/pub/png/src/libpng-1.6.27-README.txt
- Libpng http://www.libpng.org/pub/png/libpng.html