【セキュリティ】PNGライブラリ「libpng」に脆弱性、国内製品にも影響（10/03/04）

1 ： ◆amidaMovTg ＠あみだくじψ ★：2010/03/04(木) 20:43:04 ID:???

　PNGデータのエンコード／デコード処理ライブラリ「libpng」にサービス停止（DoS）を誘発させる恐れのある脆弱性が見つかり、
情報処理推進機構とJPCERTコーディネーションセンターが3月4日付で情報を公開した。

　脆弱性は、特定のPNGファイルの処理に起因するもので、細工された補助チャンクが含まれるPNGファイルを処理する際に、
膨大なメモリとCPUを消費する場合があり、DoSが誘発される恐れがある。

　脆弱性はlibpng 1.4.0以前に存在しており、開発元のPNG Development Groupは2月27日に脆弱性へ対処した1.4.1、1.2.43、
1.0.53を公開して、アップデートの適用もしくは回避策を実施するよう呼び掛けている。

　国内では、フェンリルが無償ペイントソフト「PictBear」に脆弱なバージョンのlibpngを使用していたとして、更新版の
PictBear 2.01をリリースした。またLunascapeは、ブラウザのLunascape6でエンジンにGeckoもしくはWebKitを利用して
いる場合に影響を受けるとして、Tridentエンジンへの切り替えや、画像を読み込まない設定を実施するなどの回避策を
適用するよう呼び掛けている。

http://www.itmedia.co.jp/enterprise/articles/1003/04/news064.html

2 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 21:21:36 ID:40jq+yua

先生！詳しく説明してください

どのソフトが危険なの？
危険な画像さえDLしなければOK？

3 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 21:37:37 ID:???

これ使ってるのはかなり沢山あるけど、リソース食うだけみたいなので、ASPとかで使ってるんじゃなかったら深刻じゃない。

4 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 21:43:07 ID:???

急に落ちてHDD壊れたら嫌じゃないか

5 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 21:55:04 ID:???

>>4
そんなボロいOSなら捨てちまえよ
普通は空きメモリが0になっても落ちない

6 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 21:55:21 ID:???

>>4
そんなクソOS使うのやめな。

7 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 22:01:22 ID:???

本体が不良品なMac最強

8 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 22:29:41 ID:???

今月のWindows不具合発表会まだ？ｗ

9 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 22:41:06 ID:???

>>1
え～と・・・、これは誰がどんなソフトをアップデートすればいいの？

10 ：名無しさん＠お腹いっぱい。：2010/03/04(木) 22:58:55 ID:???

PNGの標準ライブラリだから、警戒しても仕方がないよ
ありとあらゆるソフトで使われてる
自分が使ってるソフトのアップデートが出たらすぐ当てるくらいしか

11 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 00:16:58 ID:???

Linuxは徹底的に共用するエコシステムだからlibpngも一つしか無い、一つのlibpngを全てのアプリで共有してる
Windowsでは各アプリが抱えているlibpng毎の個別対応になる
こういう所もWindowsの脆弱性なのよ
マイクロソフトにはどうにもできない部分でもある

12 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 00:19:51 ID:???

>>11
dos時代に変態アプリにシステムぶちこわされるのが続出して今の分離になった。
一概に今の仕様が悪いわけでもない。

13 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 00:36:20 ID:c739giKG

>>11
Windowsでもlibpngを動的リンクで使いまわしてるアプリならLinuxと同じ
静的リンクしてたらLinuxのアプリでもWindowsと同じ
OS側の問題じゃないのに、何いってんだか・・・
相変わらずリナ厨って馬鹿だな

14 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 00:38:59 ID:???

マスゴミが決して伝えない一次情報を読みましょう
http://jvn.jp/cert/JVNVU576029/
http://libpng.sourceforge.net/decompression_bombs.html

これはつまりPNGの機能としてデータの圧縮が出来るんだが
PNGの圧縮アルゴリズム"deflate"はある種のデータで圧縮率がすごく高い
つまりむっちゃでかい画像もPNGにするとすごく小さくなることがある
そんなPNGを不用意に開いてしまうとメモリがパンクするって話

15 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 00:43:12 ID:???

>>14
おまいさん、ぜんぜん理解できてないみたいなんだけどｗ

16 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 01:30:50 ID:???

>>11
重要なライブラリにバグがあった時は、涙が出そうになるけどね
>>13
それはディストリによって違うのでは？
*.rpmや*.debはそうかもしれないけど、*.ebuildやFreeBSDは違う気がするんだけど

17 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 01:33:44 ID:???

>>14
画像そのものじゃなくて付属チャンクの方の展開ボムをチェックしてなかったのか

18 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 02:16:44 ID:???

tridentもたまには役に立つんだな

19 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 02:24:10 ID:???

マイクロソフトの陰謀だろ。
オープンソースだから誰でもソースをいじれるのを悪用してバグを
混入させたに違いない。

20 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 06:52:32 ID:???

>>11
昔は、Windowsが徹底してそうなっていたが、今は逆。
DLL Hellという言葉も知らないんだろ

>>14
画像の圧縮に deflate がいいかというとそうでもない。
deflate はアルゴリズムが複雑なので、zlib は脆弱性問題を何度か起こした。

21 ：名無しさん＠お腹いっぱい。：2010/03/05(金) 08:05:42 ID:???

>>1
最後の段落でウヨウェアを宣伝して終わる辺りがITクソメディアらしいなｗ

ところで本題

Zlibは部分解凍しにくい
reallocではなくmallocを使ってたんじゃないか
mallocだけだと予めハードコードしたサイズしか使えないから足りなくなる
といっても、inflate()がZ_*_ERRORエラーを出す気がするんだが

22 ：名無しさん＠お腹いっぱい。：2010/03/06(土) 08:53:10 ID:???

ウヨウェアってなんだ？

23 ：名無しさん＠お腹いっぱい。：2010/03/06(土) 17:39:33 ID:???

画像ビュアーでSusiePlugIn使って展開してるのも結構あるけど
Susie32 PNG Plug-in Light Ver.0.25Lでは
>libpng version 1.2.18 - May 15, 2007
を利用してるってことなんでこの影響はもろ受けるね

ネットから直接画像を展開するブラウザ（2chブラウザ含む）の対応がまずは先決かな

24 ：名無しさん＠お腹いっぱい。：2010/03/07(日) 06:00:13 ID:???

png＼(^o^)／

25 ：名無しさん＠お腹いっぱい。：2010/03/07(日) 07:34:04 ID:???

>>24
対応は終わってるからあとは各ソフトがその対応を取り込むだけだよ？

26 ：名無しさん＠お腹いっぱい。：2010/03/07(日) 07:53:02 ID:???

これが Windows だったらフルボッコだっただろうな。

27 ：名無しさん＠お腹いっぱい。：2010/03/07(日) 08:04:15 ID:???

他人に厳しく自分に甘い
これぞGNU

28 ：名無しさん＠お腹いっぱい。：2010/03/10(水) 00:24:18 ID:TJ3mbJdU

Geckoがアウトなら、Firefox3.6もアウトだよな。

FirefoxやOperaでゼロデイ攻撃の可能性もあるのに、あまり大きく取り上げられてないような・・・

29 ：名無しさん＠お腹いっぱい。：2010/03/10(水) 00:25:23 ID:TJ3mbJdU

>>28
補足Operaは余計だった（libpngを使ってるらしいというだけ。当然だけどGeckoは使ってない）