注意!这个开源图形库的漏洞可能比你的岁数还大

日期:2017-1-10作者:Peter Loshin翻译:邹铮来源:TechTarget中国 英文

开源图形库   Libpng   漏洞评估   PNG   

【TechTarget中国原创】

在广泛使用的开源图形库Libpng中出现的最新漏洞严重性可能不高,但它却由来已久。

Libpng是可移植网络图形(PNG)规范的官网参考库,最近在libpng的所有版本中发现了一个漏洞,该漏洞可追溯到1995年首次发布的0.71版本中。该漏洞终于在2016年12月底得到修复。

Libpng独立于平台,它包含在很多Linux发行版中。该漏洞可被用于远程执行拒绝服务攻击,但它需要非常特定的条件,以及用户输入,才能成功攻击这个开源图形库。

“这个漏洞是由开源开发人员Patrick Keshishian发现并修复,它是png_set_text_2()中非常久的NULL pointer dereference漏洞。这个‘NULL dereference’漏洞自1995年6月26日0.71版就已经存在,”Slackware Linux安全团队在安全公告中写道,“为了实现攻击,应用必须加载文本块到PNG结构中,然后删除所有文本,增加另一个文本块到相同的PNG结构,这似乎是不太可能的序列,但确实发生了。”

虽然文本加载和删除的顺序似乎不太可能,这个漏洞不会出现在只能查看PNG图像的应用中--它仅限于PNG编辑应用。此外,libpng项目指出,如果没有交互式用户输入,没有已知的PNG图形编辑器可受到该漏洞威胁。

“从1.6.26、1.5.27、1.4.19、1.2.56和1.0.66的几乎所有libpng版本的png_set_text_2()中都有null-pointer-dereference漏洞,当图像编辑应用增加、删除和重新增加文本块到PNG图像时都可能受到该漏洞影响,”libpng项目在其网站写道,“这个漏洞并不会影响纯视图查看器,也不会影响没有用户输入便可触发的编辑器。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

漏洞评估>更多

相关推荐

技术手册>更多

  • 2010年安全最佳实践汇总手册

    2010年即将过去,在这一年中, IT安全各方面有哪些最佳实践值得大家去关注呢?本技术手册将为您总结2010年TT安全网站受欢迎的安全最佳实践,其中涉及网络安全、安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给安全朋友们提供一些帮助。

  • 虚拟化安全手册

    未来企业在IT基础架构建设中,将侧重于建设领先的虚拟化IT环境。但虚拟化环境面临着不同于物理环境的安全问题,本技术手册将为你详细介绍虚拟化安全挑战,并提供解决策略和方法。

  • 数据安全和云

    当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。本技术手册为您提供关于数据安全与云的指导。我们将和您一起探索云数据安全,讨论如何迎接风险管理挑战。

  • 金融行业安全指导

    安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算