Risque
- Exécution de code arbitraire
Systèmes affectés
Bibliothèque libpng :
- branche 1.0, versions antérieures à la version 1.0.57 ;
- branche 1.2, versions antérieures à la version 1.2.47 ;
- branche 1.4, versions antérieures à la version 1.4.9 ;
- branche 1.5, versions antérieures à la version 1.5.9.
Les applications qui utilisent cette bibliothèque peuvent être vulnérables.
Résumé
Une vulnérabilité dans la bibliothèque libpng permet à un attaquant d'exécuter du code arbitraire.
Description
Dans la bibliothèque libpng, une erreur d'allocation de mémoire permet à un attaquant, au moyen d'une image au format PNG spécialement construite, d'exécuter du code arbitraire avec les droits de l'utilisateur qui ouvre cette image.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avertissement sur le site du projet libpng du 19 février 2012 : http://www.libpng.org/pub/png/libpng.html
- Bulletin de sécurité Debian DSA 2410 du 15 février 2012 : http://www.debian.org/security/2012/dsa-2410
- Bulletin de sécurité Mandriva MDVSA-2012:022 du 22 février 2012 : http://www.mandriva.com/fr/support/security/advisories/?name=MDVSA-2012:022
- Bulletin de sécurité Ubuntu USN-1367-1 du 16 février 2012 : http://www.ubuntu.com/usn/usn-1367-1/
- Référence CVE CVE-2011-3026 https://www.cve.org/CVERecord?id=CVE-2011-3026
