libpng-Entwickler schließen 21 Jahre alte Sicherheitslücke
Praktisch alle Versionen der Programmbibliothek libpng sind verwundbar. Über eine Schwachstelle könnten Angreifer Systeme lahmlegen. Abgesicherte Versionen sind verfügbar.
In vielen Ausgaben der Programmbibliothek libpng zum Verarbeiten von PNG-Grafiken klafft eine Sicherheitslücke (CVE-2016-10087). Den Entwicklern zufolge sind davon die Versionen bis jeweils einschließlich 1.0.66, 1.2.56, 1.4.19, 1.5.27 und 1.6.26 betroffen – die Schwachstelle ist schon seit 1995 im Programm-Code. Seit Ende Dezember vergangenen Jahres stehen Sicherheitsupdates zum Download bereit. Das CERT-Bund stuft das von der Lücke ausgehende Risiko als niedrig ein.
Ein Übergriff soll aus der Ferne ohne Authentifizierung möglich sein. Damit ein Angriff klappt, muss ein Angreifer den libpng-Entwicklern zufolge eine Applikation ausführen, die mehrmals Text-Chunks in PNG-Bilder schreibt und löscht. So sollen sie über den Null-Pointer-Dereference-Bug eine DoS-Attacke ausüben können. (des)
