20 évig senkinek sem tűnt fel ez a biztonsági hiba

​Egy széles körben használt, szoftveres összetevőben egy olyan sérülékenységre derült fény, amely már több mint húsz éve velünk volt.
 
hirdetés
A libpng a PNG (Portable Network Graphics (PNG) formátumú állományok kezeléséhez biztosít támogatást. Egy platformfüggetlen könyvtárról van szó, amelyre számos alkalmazás építkezik. Különösen népszerű a linuxos környezetekben, és megannyi Linux disztribúció részét képezi. Ezért aztán, ha a libpng kapcsán biztonsági hibára derül fény, akkor azt azért is érdemes komolyan venni, mivel rengeteg rendszer lehet érintett.
 
A libpng legutóbb feltárt sérülékenysége nem kifejezetten a veszélyessége miatt hívta fel magára a figyelmet. Sokkal inkább azzal, hogy a vizsgálatok szerint 1995 júniusa óta jelen volt a szoftveres összetevőben. Vagyis egy több mint 20 éves sebezhetőségről hullt le a lepel.
 
A sebezhetőség PNG-állományok szerkesztésére is alkalmas, libpng-t használó szoftverek térdre kényszerítését teheti lehetővé, azaz szolgáltatásmegtagadásokhoz járulhat hozzá. A támadások kivitelezéséhez felhasználói közreműködésre is szükség van. Az eddigi hírek szerint azok az alkalmazások, amelyek kizárólag a PNG-fájlok megjelenítésére képesek, nem veszélyeztetettek e biztonsági rés által.
 
A fejlesztők a sokat látott biztonsági hibát az 1.6.27, az 1.5.28, az 1.4.20, az 1.2.57 és az 1.0.67 verziók kiadásával orvosolták. Egyes Linux disztribúciók a szokásos frissítési folyamatokon keresztül kapják meg a javításokat.
 
Érdekesség, hogy a libpng egy viszonylag biztonságos könyvtárnak számít. 2004 óta két tucat biztonsági rést kellett rajta befoltozni, tavaly mindössze a szóban forgó sebezhetőséget.
Vélemények
 
  1. 4

    A Trend Micro számos biztonsági hibáról számolt be.

  2. 3

    A Xen egy memóriakezelési rendellenesség következtében válaszképtelenné válhat.

  3. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1