lunes, 16 de noviembre de 2015

Ejecución de código a través de libpng

Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por un atacante remoto para comprometer las aplicaciones y sistemas que usen esta librería.

El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

El fallo (con CVE-2015-8126) reside en un desbordamiento de búfer en las funciones "png_set_PLTE" y " png_get_PLTE" al procesar una imagen maliciosa. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario.

Se han publicado las versiones 1.6.19, 1.5.24, 1.4.17, 1.2.54 y 1.0.64 de la librería, disponibles desde:
http://libpng.sourceforge.net/
De igual forma, en breve veremos la actualización de múltiples aplicaciones para incluir la corrección de esta vulnerabilidad.

Más información:

CVE-2015-8126
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8126

libpng buffer overflow in png_set_PLTE
http://www.openwall.com/lists/oss-security/2015/11/12/2

una-al-dia (19/08/2015) ¿Son las aplicaciones Android tan seguras como piensas?
http://unaaldia.hispasec.com/2015/08/son-las-aplicaciones-android-tan.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017