libpng-Entwickler schließen 21 Jahre alte Sicherheitslücke
Praktisch alle Versionen der Programmbibliothek libpng sind verwundbar. Über eine Schwachstelle könnten Angreifer Systeme lahmlegen. Abgesicherte Versionen sind verfügbar.
![PNG](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/1/1/6/2/1/6/PNG-937396770c369f39.jpeg)
In vielen Ausgaben der Programmbibliothek libpng zum Verarbeiten von PNG-Grafiken klafft eine Sicherheitslücke (CVE-2016-10087). Den Entwicklern zufolge sind davon die Versionen bis jeweils einschließlich 1.0.66, 1.2.56, 1.4.19, 1.5.27 und 1.6.26 betroffen – die Schwachstelle ist schon seit 1995 im Programm-Code. Seit Ende Dezember vergangenen Jahres stehen Sicherheitsupdates zum Download bereit. Das CERT-Bund stuft das von der Lücke ausgehende Risiko als niedrig ein.
Ein Übergriff soll aus der Ferne ohne Authentifizierung möglich sein. Damit ein Angriff klappt, muss ein Angreifer den libpng-Entwicklern zufolge eine Applikation ausführen, die mehrmals Text-Chunks in PNG-Bilder schreibt und löscht. So sollen sie über den Null-Pointer-Dereference-Bug eine DoS-Attacke ausüben können. (des)