Noticias relacionadas
Otras noticias
Más noticias
En el foro
Ir al foro de Seguridad
imágenes

Múltiples vulnerabilidades en libpng 1.x

Se han descubierto múltiples vulnerabilidades en libpng que pueden ser explotadas por usuarios maliciosos para provocar una denegación de servicio o comprometer un sistema afectado.
El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada. 

06 Ago 2004 | HISPASEC
S

e han confirmado un total de seis vulnerabilidades de diversa gravedad e implicación. Estas vulnerabilidades se deben al uso incorrecto de punteros nulos y a fallos en la comprobación de tamaños de variables en diversas funciones utilizadas durante el proceso de imágenes PNG.

 
Algunos de estos problemas pueden ser explotados para provocar
desbordamientos de búfer basados en stack al procesar una imagen PNG especialmente construida a tal efecto.

De esta forma, el atacante podrá explotar la vulnerabilidad y llegar, incluso a ejecutar código arbitrario, si consigue que la víctima visite un sitio web malicioso o envía un mensaje que sea leído con un cliente de correo que tenga dependencias con esta librería. El problema es de gran distribución debido a que programas tan populares como Mozilla, Konqueror y varios clientes de correo utilizan esta librería.

Se recomienda actualizar a las versiones 1.2.6rc1 o 1.0.16rc1, o
aplicar los parches apropiados. La dirección para descargar estas
actualizaciones y parches es la siguiente:
http://www.libpng.org/pub/png/libpng.html


Más Información:

Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html

libPNG 1.2.5 stack-based buffer overflow and other code concerns
http://scary.beasts.org/security/CESA-2004-001.txt

Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [quote], [code]
Publicidad
Ahora en LaFlecha puedes encontrar cursos y másters