Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por un atacante remoto para comprometer las aplicaciones y sistemas que usen esta librería.
El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.
El fallo reside en la función «png_set_text_2()«, que provoca una corrupción de memoria al procesar una imagen maliciosa. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario. A esta vulnerabilidad se le ha asignado el CVE-2011-3048.
Se han publicado las versiones 1.5.10 y 1.2.49 de la librería, que además corrigen otra serie de problemas no relacionado con vulnerabilidades de seguridad, disponibles desde:
Más información:
Libpng 1.5.10
Libpng 1.2.49
Antonio Ropero
Twitter: @aropero
Deja un comentario