PNGライブラリにDoS攻撃の脆弱性

脆弱性対策情報ポータルサイトJVN (Japan Vulnerability Notes)に掲載された記事「Vulnerability Note VU#684412 - libpng denial-of-service vulnerability」が、「libpng」にDoS攻撃を引き起こされるセキュリティ脆弱性があることを伝えた。「libpng」はPNG画像を扱うことを目的としたライブラリの参照実装。PNG画像が提供するすべての機能に対応しており、さまざまなソフトウェアで活用されている。

セキュリティ脆弱性が存在するのは「libpng」のバージョン1.6.0から1.6.9までのすべてのバージョン。IDATチャンクの処理に問題があり、長さが0のIDATチャンクを含むPNG画像を処理しようとすると、処理が無限ループする問題がある。このため、該当するバージョンの「libpng」を使用しているソフトウェアは細工されたPNG画像を読むことで反応がなくなる可能性がある。

PNG開発グループはこの問題に対処するためのパッチをすでに提供しており、該当する場合にはパッチを適用してライブラリをアップデートすることが推奨される。「libpng」をスタティックに取り込んでいるソフトウェアでは、それぞれのソフトウェアごとに対応が必要。