Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Tout système ayant la bibliothèque libpng2 ou libpng3 installée.

Résumé

Une vulnérabilité présente dans la bibliothèque libpng permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou d'entraîner un déni de service sur la machine cible.

Description

La bibliothèque libpng est utilisée par de nombreuse applications (dont les navigateurs) pour la manipulation de fichiers image au format png.

Un débordement de mémoire dans la gestion de la taille des données ( la taille des données spécifiée dans la section IHDR est inférieure à la taille des données effectivement reçues) permet à un utilisateur mal intentionné, composant judicieusement un fichier destiné à être lu par cette bibliothèque, d'exécuter du code arbitraire ou d'entraîner un déni de service de l'application sur la machine cible.

Solution

Les versions 1.0.14 et 1.2.14 de la bibliothèque corrigent cette vulnérabilité.

Consulter les bulletins de sécurité de votre distributeur pour connaître la disponibilité des correctifs.

Documentation