lunes, 28 de junio de 2010

Dos vulnerabilidades en libpng

Se han descubierto dos vulnerabilidades en libpng que podrían ser aprovechadas por un atacante local para provocar una denegación de servicio o comprometer los sistemas que usen esta librería.

El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

El primer problema reside en una corrupción de memoria cuando se procesa una imagen con una fila mayor que la altura indicada en la cabecera. Un atacante podría aprovechar este problema para ejecutar código arbitrario mediante una imagen maliciosa.

La segunda vulnerabilidad, de denegación de servicio, está provocada por una fuga de memoria al procesar imágenes con bloques (chunks) sCAL específicamente construidos.

Estos problemas afectan a las versiones de Libpng anteriores a la 1.4.3 y a la 1.2.44. Se recomienda actualizar a Libpng versión 1.4.3 o 1.2.44, disponible desde:
http://www.libpng.org/pub/png/libpng.html


Antonio Ropero
Antonior@hispasec.com


Más información:

libpng
http://www.libpng.org/pub/png/libpng.html

No hay comentarios:

Publicar un comentario en la entrada