Alert!

libpng-Entwickler schließen 21 Jahre alte Sicherheitslücke

Praktisch alle Versionen der Programmbibliothek libpng sind verwundbar. Über eine Schwachstelle könnten Angreifer Systeme lahmlegen. Abgesicherte Versionen sind verfügbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 53 Beiträge
PNG
Von
  • Dennis Schirrmacher

In vielen Ausgaben der Programmbibliothek libpng zum Verarbeiten von PNG-Grafiken klafft eine Sicherheitslücke (CVE-2016-10087). Den Entwicklern zufolge sind davon die Versionen bis jeweils einschließlich 1.0.66, 1.2.56, 1.4.19, 1.5.27 und 1.6.26 betroffen – die Schwachstelle ist schon seit 1995 im Programm-Code. Seit Ende Dezember vergangenen Jahres stehen Sicherheitsupdates zum Download bereit. Das CERT-Bund stuft das von der Lücke ausgehende Risiko als niedrig ein.

Ein Übergriff soll aus der Ferne ohne Authentifizierung möglich sein. Damit ein Angriff klappt, muss ein Angreifer den libpng-Entwicklern zufolge eine Applikation ausführen, die mehrmals Text-Chunks in PNG-Bilder schreibt und löscht. So sollen sie über den Null-Pointer-Dereference-Bug eine DoS-Attacke ausüben können. (des)