orororor スレ立て依頼所 orororor
559 : 手錠(愛知県):
libpngに脆弱性。PNG画像を処理するアプリの多くがヤバイ
PNGデータのエンコード/デコード処理ライブラリ「libpng」にサービス停止(DoS)を誘発させる恐れのある脆弱性が見つかり、
情報処理推進機構とJPCERTコーディネーションセンターが3月4日付で情報を公開した。
脆弱性は、特定のPNGファイルの処理に起因するもので、細工された補助チャンクが含まれるPNGファイルを処理する際に、
膨大なメモリとCPU を消費する場合があり、DoSが誘発される恐れがある。
脆弱性はlibpng 1.4.0以前に存在しており、開発元のPNG Development Groupは2月27日に脆弱性へ対処した1.4.1、
1.2.43、1.0.53を公開して、アップデートの適用もしくは回避策を実施するよう呼び掛けている。
国内では、フェンリルが無償ペイントソフト「PictBear」に脆弱なバージョンのlibpngを使用していたとして、
更新版の PictBear 2.01をリリースした。またLunascapeは、ブラウザのLunascape6でエンジンにGeckoもしくは
WebKitを利用している場合に影響を受けるとして、Tridentエンジンへの切り替えや、画像を読み込まない設定を
実施するなどの回避策を適用するよう呼び掛けている。
http://www.itmedia.co.jp/enterprise/articles/1003/04/news064.html
PNGデータのエンコード/デコード処理ライブラリ「libpng」にサービス停止(DoS)を誘発させる恐れのある脆弱性が見つかり、
情報処理推進機構とJPCERTコーディネーションセンターが3月4日付で情報を公開した。
脆弱性は、特定のPNGファイルの処理に起因するもので、細工された補助チャンクが含まれるPNGファイルを処理する際に、
膨大なメモリとCPU を消費する場合があり、DoSが誘発される恐れがある。
脆弱性はlibpng 1.4.0以前に存在しており、開発元のPNG Development Groupは2月27日に脆弱性へ対処した1.4.1、
1.2.43、1.0.53を公開して、アップデートの適用もしくは回避策を実施するよう呼び掛けている。
国内では、フェンリルが無償ペイントソフト「PictBear」に脆弱なバージョンのlibpngを使用していたとして、
更新版の PictBear 2.01をリリースした。またLunascapeは、ブラウザのLunascape6でエンジンにGeckoもしくは
WebKitを利用している場合に影響を受けるとして、Tridentエンジンへの切り替えや、画像を読み込まない設定を
実施するなどの回避策を適用するよう呼び掛けている。
http://www.itmedia.co.jp/enterprise/articles/1003/04/news064.html
|
|
|