PNGライブラリlibpngでヌルポ IPAが指摘

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は
1月10日、PNG Development Groupが提供するPNG形式の画像を処理するライブラリ「libpng」に、
NULLポインタ参照の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

「libpng 1.6.1から1.6.7まで」には、NULLポインタ参照の脆弱性(CVE-2013-6954)が存在する。
この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたり任意のコードを実行される可能性がある。
JVNでは、開発者の提供する情報をもとに最新版へアップデートするよう呼びかけている。

http://www.rbbtoday.com/article/2014/01/11/115741.html
2番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:12:46.04 ID:SCs4rUsn0
3番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:13:14.03 ID:6VL3c3Mz0
png画像貼られたらゆうちゃんみたいな人にパソコン遠隔操作されてしまうんか
4番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:14:03.42 ID:wSKTIphGP
ガッ
5番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:14:29.80 ID:+IonGSsSO
>>1
ガッ
6番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:15:07.75 ID:HHTy8Fnr0
岡ちゃん?
7番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:15:33.70 ID:A+r30CjN0
まピョーん☆
8番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:17:43.96 ID:ubVGIJfq0
さかあがりハリケーンとATOKを古いフリーソフトだと言い張ってたIPAは信用できない
まピョーん☆
9金太丸の助:2014/01/12(日) 09:21:04.34 ID:2KUC8Rok0
libpng12-0 パッケージ

wheezy (stable) (libs): PNG ライブラリ - ランタイム
1.2.49-1: amd64 armel armhf i386 ia64 kfreebsd-amd64 kfreebsd-i386 mips mipsel powerpc s390 s390x sparc

関係無かった
10番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:23:07.13 ID:kX+qqO4q0
つかOSかハードレベルでこういうの防げないの?
TVTest死亡だな
まピョーん☆のIPAとかコネ組以外はちゃんと仕事してんのかね?
画像見るだけでアウトになるようなOSがおかしいよ
14番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:35:35.52 ID:G6a07Pxu0
古い無料ソフトウエアを探しにきたんですけどここですか?
15番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:36:14.50 ID:FWcb0ahx0
オンボロイドオワタ
16番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:46:45.60 ID:mibqbSam0
ジャップごときが問題を指摘だなんて烏滸がましいと思わんのかね
17番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:49:24.51 ID:X3PVB0860
>>10
普通は防げるからせいぜいDoSしかできないけど、
組み込み系でメモリ保護非対応のOSなんか使ってると乗っ取りまでできてしまう
18番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:53:59.44 ID:9QxFjWNI0
>>16
ほんとこれ
外人名義で脆弱性報告してるわ
19番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 09:55:30.62 ID:TCc41Jrz0
NULLの逆参照ぐらいじゃ「任意のコード〜」なんてほとんど無いだろ
例外処理に致命的なバグがあるか、XPならスタックオーバーフローとあわせてSEHを書き換えるか
gimpもautoかね
21番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 12:02:05.73 ID:60Mcjyl80
ubuntuもlibpng1.2.49だな。
debian/ubuntuはセーフセーフ。
何でヌルポしたら任意のコードを実行できるんだろう?
23番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 14:43:19.92 ID:nplKrfQ60
またlibpngか
24番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 15:27:37.94 ID:3d5vVYLQ0
NULLポインタ参照の脆弱性について適当にググったら以下のページが出て来た
ttp://www.jpcert.or.jp/sc-magazine/codezine02-5.html

読むと興味深い内容だけどプログラミングなんてしない俺は
バージョンアップを待つしか無いかな
どのソフトが libpng 使ってんのか分からんけど
25番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 15:31:16.26 ID:uav0qxey0
>>12
実務はほぼ派遣じゃね
jane系の専ブラもアウトか
27番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 22:51:08.67 ID:xu03ia4DP
さかあがりハリケーン
28番組の途中ですがアフィサイトへの転載は禁止です:2014/01/12(日) 22:56:59.30 ID:aj1aAFTL0
ATOKはフリーソフト
>>24
pngに対応してるフリーソフトなんかは全てlibpng使われてるんじゃないの?
去年の12月19日に修正されてるから
それ以降にヴァージョンうpされてれば問題ないでしょ
糞鯖www

This project has been temporarily blocked for exceeding its bandwidth threshold