注意!这个开源图形库的漏洞可能比你的岁数还大

日期:2017-1-10作者:Peter Loshin翻译:邹铮来源:TechTarget中国 英文

开源图形库   Libpng   漏洞评估   PNG   

【TechTarget中国原创】

在广泛使用的开源图形库Libpng中出现的最新漏洞严重性可能不高,但它却由来已久。

Libpng是可移植网络图形(PNG)规范的官网参考库,最近在libpng的所有版本中发现了一个漏洞,该漏洞可追溯到1995年首次发布的0.71版本中。该漏洞终于在2016年12月底得到修复。

Libpng独立于平台,它包含在很多Linux发行版中。该漏洞可被用于远程执行拒绝服务攻击,但它需要非常特定的条件,以及用户输入,才能成功攻击这个开源图形库。

“这个漏洞是由开源开发人员Patrick Keshishian发现并修复,它是png_set_text_2()中非常久的NULL pointer dereference漏洞。这个‘NULL dereference’漏洞自1995年6月26日0.71版就已经存在,”Slackware Linux安全团队在安全公告中写道,“为了实现攻击,应用必须加载文本块到PNG结构中,然后删除所有文本,增加另一个文本块到相同的PNG结构,这似乎是不太可能的序列,但确实发生了。”

虽然文本加载和删除的顺序似乎不太可能,这个漏洞不会出现在只能查看PNG图像的应用中--它仅限于PNG编辑应用。此外,libpng项目指出,如果没有交互式用户输入,没有已知的PNG图形编辑器可受到该漏洞威胁。

“从1.6.26、1.5.27、1.4.19、1.2.56和1.0.66的几乎所有libpng版本的png_set_text_2()中都有null-pointer-dereference漏洞,当图像编辑应用增加、删除和重新增加文本块到PNG图像时都可能受到该漏洞影响,”libpng项目在其网站写道,“这个漏洞并不会影响纯视图查看器,也不会影响没有用户输入便可触发的编辑器。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

漏洞评估>更多

相关推荐

  • 年关近,iOS10漏洞又出新花样

    近期,网上曝出iOS10一个新的漏洞,当收到某些特殊字符组成的短信时,iPhone会立刻崩溃。

  • SAP漏洞:为什么补丁没有发挥作用?

    DHS报告称,一个2010年已修复的SAP漏洞导致30多家跨国企业遭受数据泄露事故。这个漏洞让攻击者可获取这些企业系统中业务信息和流程的远程管理权限。那么,为什么补丁没有发挥作用,企业应该怎么做来确保系统安全?

  • 浏览器漏洞及Office漏洞主导“补丁日”

    上个月微软补丁星期二的公告数量有所减少,而2016年8月补丁日继续这一趋势,总共只有9个公告,其中5个被评为严重……

  • 手把手教你实现有效的漏洞评估

    要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。

技术手册>更多

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • 安全加密秘籍

    无论是企业的自身需要还是安全标准的强制规定,为了更好的保护数据,加密已经成为企业的不二选择。本技术手册将详细介绍各种加密技术,帮助企业更好的保护数据。

  • 远程访问安全

    在有些时候,你可能需要有远程用户连接到你的网络上。远程计算在生产力和环境上有些得到证明的优势,但是并不是没有缺点——大部分的时候以信息安全风险的形式出现。如果远程用户的电脑感染了病毒或者他们在不安全对的无线连接上传送敏感的电子邮件和即时消息时,会发生什么事儿呢?

  • 数据安全和云

    当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。本技术手册为您提供关于数据安全与云的指导。我们将和您一起探索云数据安全,讨论如何迎接风险管理挑战。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算