图片处理库libpng日前曝出漏洞,且需要尽快得到修复。最大的问题在于,libpng的普及范围实在太过广泛——浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具、音乐播放器等每款操作系统都离不开的应用程序。
经过精心构建的图片能够导致应用甚至服务器进程发生崩溃。
首先强调,这不是什么好消息:图片处理库libpng日前曝出漏洞,且需要尽快得到修复。
最大的问题在于,libpng的普及范围实在太过广泛——浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具、音乐播放器等每款操作系统都离不开的应用程序。
就目前来讲,该漏洞造成的影响还单纯只是拒绝服务,但其后续影响绝不可能仅限于此。因为这项漏洞还允许攻击者造成应用程序崩溃,而这正是恶意人士们实现进一步入侵的绝佳起点。
Libpng安全负责人Glenn Randers-Pehrson为该漏洞申报了通用漏洞披露(简称CVE)。他同时写道:
“我针对所有libpng版本当中的png_set_PLTE/png_get_PLTE函数向CVE进行了安全漏洞申报。这些函数在写入或者读取 PNG文件时,无法为bit_depth小于8的对象检查超出范围的调色板。一部分应用程序可能会从文件头数据块(简称IHDR)当中读取到这样的数位色 深并为一套2^N调色板分配内存,在这种情况下即使位深低于8、libpng仍然会返回一个最高提供256色的调色板。
“目前libpng的1.6.19、1.5.24、1.4.17、1.2.54以及1.0.64等版本已经于今天(2015年11月12号)获得了最新修复。大家可以阅读libpng.sourceforge.net了解细节信息。”
(备注:我们访问了该Sourceforge页面,但其当时已经被众多焦虑的软件开发者所挤爆。)
这项漏洞被CVE评为7.5分。其易于利用,导致网络面临潜在风险,而且正如NIST所指出,其“允许在未经授权的情况下披露信息;允许未经授权的修改以及由此造成的服务中断”。