libpng库发现漏洞

未分类

根据libpng库托管人Glenn Randers-Pherson叙述，被大量热门应用使用的libpng库被发现有一个漏洞。对于那些应用程序中使用了libpng库的系统管理员和用户来说，需要尽快更新他们的应用和系统。

大量应用程序使用libpng以实现对PNG图片格式的读写。此次libpng库中受影响的代码在png_set_PLTE和png_get_PLTE函数中，根据Randers-Pherson的描述，它们“当在读写位深度（bit depth）小于8的PNG文件时，未能检查越界调色板”。使用受影响版本libpng库构建的应用程序易受攻击。尤其需要注意的是使用libpng静态库的应用程序需要单独更新，因为它们无法因为系统库更新而避免这个漏洞。

Randers-Pherson已经发布了更新的源代码，指示需要修复的地方，用户和开发者已经可以开始更新系统。主流Linux发行版仍然在积极进行修复，例如Debian正在积极修复，而Ubuntu已经完成分级（Triaged），但还未开始修复。我们鼓励读者检查自己的系统是否有更新，并且能够尽快应用更新。出现的漏洞传播的新闻评论表明了问题的严重性。用户“jimrandomh”在黑客新闻（Hacker News）上之处，由于libpng库用于非常多的应用程序，目前无法预计多少应用会受到影响。

查看英文原文：http://www.infoq.com/news/2015/11/libpng