В популярной библиотеке обработки PNG-изображений libpng выявлена уязвимость, которая присутствовала в коде проекта на протяжении нескольких десятилетий.
Информация об ошибке опубликована в официальном advisory разработчиков и подтверждена специалистами по информационной безопасности.
Уязвимость связана с некорректной обработкой специально сформированных PNG-файлов. При их разборе библиотека может переходить в ошибочное состояние, что приводит к аварийному завершению приложения и отказу в обслуживании.
Речь идет о логической ошибке, заложенной в коде еще на ранних этапах развития libpng и остававшейся незамеченной более 30 лет.
Эксплуатация уязвимости не позволяет выполнить произвольный код, однако может использоваться для краша программ, которые обрабатывают изображения с помощью libpng. Это делает проблему актуальной для широкого круга приложений, включая графические редакторы, браузеры, серверные сервисы и встроенные системы, где библиотека применяется по умолчанию.
Разработчики уже выпустили исправления и рекомендуют как можно скорее обновить libpng до актуальной версии. Эксперты отмечают, что инцидент наглядно демонстрирует риски, связанные с долгоживущими библиотеками, код которых активно переиспользуется десятилетиями и может содержать уязвимости, не выявленные при стандартных аудитах.
Источник
Информация об ошибке опубликована в официальном advisory разработчиков и подтверждена специалистами по информационной безопасности.
Уязвимость связана с некорректной обработкой специально сформированных PNG-файлов. При их разборе библиотека может переходить в ошибочное состояние, что приводит к аварийному завершению приложения и отказу в обслуживании.
Речь идет о логической ошибке, заложенной в коде еще на ранних этапах развития libpng и остававшейся незамеченной более 30 лет.
Эксплуатация уязвимости не позволяет выполнить произвольный код, однако может использоваться для краша программ, которые обрабатывают изображения с помощью libpng. Это делает проблему актуальной для широкого круга приложений, включая графические редакторы, браузеры, серверные сервисы и встроенные системы, где библиотека применяется по умолчанию.
Разработчики уже выпустили исправления и рекомендуют как можно скорее обновить libpng до актуальной версии. Эксперты отмечают, что инцидент наглядно демонстрирует риски, связанные с долгоживущими библиотеками, код которых активно переиспользуется десятилетиями и может содержать уязвимости, не выявленные при стандартных аудитах.
Источник
