PNGのライブラリに脆弱性--Linux、Windows、Mac OS Xで影響も

　オープンソースの画像フォーマットに6つの脆弱性が見つかった。これを悪用されると、侵入者がLinuxコンピュータを乗っ取ったり、Windows PCやOS Xが動作するMacに攻撃を仕掛けたりするおそれがある。

　これらの脆弱性は、PNG（portable network graphics）画像フォーマットをサポートするライブラリにある。PNGは、MozillaやOperaなどのブラウザや、各種メールクライアントなどのプログラムで広く利用されているもの。このなかで、最も重大なのはバッファオーバーフローと呼ばれるメモリ管理の問題で、アプリケーションが特別な細工を施したPNG画像をロードしようとすると、悪質なプログラムが実行されてしまう可能性がある。

　「libPNG」を使用するプログラムで、この問題の影響を受ける可能性が高いのは、Apple ComputerのMac OS X上のAppleMailと、Windows上のOperaおよびInternet Explorerブラウザ、それにSolaris上のMozillaおよびNetscapeブラウザだと、この問題を発見した独立系セキュリティ研究者のChris Evansは述べている。AppleとMicrosoftからはすぐにはコメントは得られなかった。Evansは、どの脆弱性が悪用され得るかを確認するために個々のプラットフォームを調べることはしていないと述べている。

　Evansによると、この最も重大な脆弱性によって、オープンソースの2つのブラウザがクラッシュしたという。「さらに怖いのは、グラフィカルなメールクライアントのユーザーに向けて悪質なPNG画像をメール送信し、この画像をデコードさせるという手口だ」とEvansは付け加えた。

　以前にもMicrosoftとLinuxのプログラムで、PNGフォーマットに起因するセキュリティ問題が見つかったことがある。Microsoftでは1年半前に、Internet ExplorerのPNG画像処理方法に見つかった欠陥を「緊急」レベルと評価している。一方、2年以上前には、Linuxのなかにある圧縮フォーマットの欠陥によって、PNG画像などのデータが稼動中のプログラムをクラッシュさせる問題が見つかったことがあった。

　「libPNG」と呼ばれるPNGライブラリで、この問題を解決したパッチ適用済みのものが、現在各Linuxオペレーティングシステム（OS）ディストリビュータやPNGのウェブサイトからダウンロードできるようになっている。

　セキュリティ情報サービスのSecuniaでは、これらの脆弱性の危険度について、同社の評価では2番目に高い「非常に危険」とし、コンピュータユーザーに警戒を呼びかけている。

　Secuniaはこの問題についての勧告のなかで、「これらの脆弱性は、騙されたコンピュータユーザーが悪質なウェブサイトにアクセスしたり、libpngにリンクされた脆弱なアプリケーションでメールを開いたりすることから悪用される可能性がある」と記している。

　米国の公式なコンピュータ監視組織US−CERT（U.S. Computer Emergency Readiness Team）もこのPNGの問題に関する勧告をリリースし、企業や個人に対しシステムをアップデートするよう推奨している。