Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Tout système ayant une bibliothèque libpng.

Résumé

Plusieurs vulnérabilités présentes dans la bibliothèque libpng permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou d'entraîner un déni de service sur la machine cible.

Description

La bibliothèque libpng est utilisée par de nombreuses applications (dont les navigateurs) pour la manipulation de fichiers image au format png (Portable Neutral Graphics).
Plusieurs vulnérabilités dans la bibliothèque libpng, en plus de celles corrigées par le premier correctif, permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou d'entraîner un déni de service sur la machine cible au moyen d'un fichier judicieusement composé.
Le premier avis du CERTA relatif à la vulnérabilité de libpng est l'avis CERTA-2003-AVI-003 du 14 janvier 2003 :

http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-003/

Solution

Se référer aux bulletins de sécurité des différents éditeurs pour connaître la disponibilité des correctifs (cf. section Documentation).

Documentation