机房360首页
当前位置:首页 » 安全资讯 » 注意!这个开源图形库的漏洞可能比你的岁数还大

注意!这个开源图形库的漏洞可能比你的岁数还大

来源:TechTarget中国 作者:DJ编辑 更新时间:2017-1-10 16:31:50

摘要:在广泛使用的开源图形库Libpng中出现的最新漏洞严重性可能不高,但它却由来已久。

  在广泛使用的开源图形库Libpng中出现的最新漏洞严重性可能不高,但它却由来已久。

  Libpng是可移植网络图形(PNG)规范的官网参考库,最近在libpng的所有版本中发现了一个漏洞,该漏洞可追溯到1995年首次发布的0.71版本中。该漏洞终于在2016年12月底得到修复。

  Libpng独立于平台,它包含在很多Linux发行版中。该漏洞可被用于远程执行拒绝服务攻击,但它需要非常特定的条件,以及用户输入,才能成功攻击这个开源图形库。

  “这个漏洞是由开源开发人员Patrick Keshishian发现并修复,它是png_set_text_2()中非常久的NULL pointer dereference漏洞。这个‘NULL dereference’漏洞自1995年6月26日0.71版就已经存在,”Slackware Linux安全团队在安全公告中写道,“为了实现攻击,应用必须加载文本块到PNG结构中,然后删除所有文本,增加另一个文本块到相同的PNG结构,这似乎是不太可能的序列,但确实发生了。”

  虽然文本加载和删除的顺序似乎不太可能,这个漏洞不会出现在只能查看PNG图像的应用中--它仅限于PNG编辑应用。此外,libpng项目指出,如果没有交互式用户输入,没有已知的PNG图形编辑器可受到该漏洞威胁。

  “从1.6.26、1.5.27、1.4.19、1.2.56和1.0.66的几乎所有libpng版本的png_set_text_2()中都有null-pointer-dereference漏洞,当图像编辑应用增加、删除和重新增加文本块到PNG图像时都可能受到该漏洞影响,”libpng项目在其网站写道,“这个漏洞并不会影响纯视图查看器,也不会影响没有用户输入便可触发的编辑器。”

  责任编辑:DJ编辑

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2017110/n350292114.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片