独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は3月4日、PNG Development Groupが提供する「libpng」にエレメントポインタが適切に初期化されない脆弱性が存在すると公表した。
libpngはPNG画像を扱うためのライブラリで、複数のLinuxベンダーやWindows向けソフトウェアベンダーなどが採用している。今回確認された脆弱性は、複数の関数におけるoff-by-oneエラーが原因で、エレメントポインタが適切に初期化されないというもの。このため、細工されたPNGファイルを開くことで、遠隔地から任意のコードを実行されたり、DoS攻撃を受けたりする可能性がある。
脆弱性が確認されたバージョンは、libpng1.0.43より前のバージョン、および同1.2.35より前のバージョン。PNG Development Groupはこの脆弱性を解消したバージョンを公開しており、1.0.43以降および1.2.35以降にバージョンアップするよう呼びかけている。なお、同じライブラリを採用しているMandrake Linux、RedHat Enterprise Linux、および「Pngcrush 1.6.9以前」にも同様の脆弱性が存在する。
なお、JVNではこの脆弱性について、以下のように分析している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス