Poważne luki w libpng
Znaleziono wiele luk w bibliotece PNG (Portable Network Graphics). Przynajmniej jedna z luk może zostać wykorzystana do zdalnego wykonania dowolnego kodu.
Format PNG jest często wykorzystywany jako alternatywa dla innych formatów graficznych, jak na przykład GIF.
CAN-2004-0597 to luka typu przepełnienie bufora, występująca podczas przetwarzania przez bibliotekę libpng formatów PNG. Atakujący może wykorzystać lukę za pomocą aplikacji korzystającej z biblioteki, podsyłając odpowiednio spreparowany plik PNG w wiadomości e-mail, bądź umieścić taki plik na stronie WWW.
Dwie inne luki (CAN-2004-0598 oraz CAN-2004-0599) mogą być wykorzystane do przeprowadzenia ataku DoS na podatną aplikacje.
Luki naprawiono w nowej wersji libpng, 1.2.6rc1.
Szczegółowe informacje na temat luk można znaleźć też w zaleceniu US-CERT TA04-217A.
Źródło informacji: CERT Polska