jueves, 1 de enero de 2015

Ejecución de código a través de libpng

Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por un atacante remoto para comprometer las aplicaciones y sistemas que usen esta librería.

El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

El fallo reside en un desbordamiento de búfer en la función "png_combine_row()" al procesar una imagen maliciosa. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario.

Se han publicado las versiones 1.5.21 y 1.6.16 de la librería, disponibles desde:
ftp://ftp.simplesystems.org/pub/png/src
y desde
http://libpng.sf.net

Más información:

[png-mng-announce] libpng-1.5.21 and 1.6.16 are available
http://sourceforge.net/p/png-mng/mailman/message/33173461/





Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017