US-CERT、『libpng』に危険度の高い複数の脆弱性が存在すると警告

米国セキュリティ対策機関の US-CERT は4日、広く普及している PNG 形式の画像を扱う公式リファレンスライブラリ『libpng』に、複数の脆弱性が見つかったと警告を出した。

US-CERT はこのうちもっとも深刻な脆弱性について、遠隔攻撃を通じてシステム上で任意コード実行を許しかねないと警告している。

同警告では、libpng ライブラリを使用するアプリケーション開発者に対して、メーカーが提供する適切なパッチをただちに適用するよう呼び掛けている。また、libpng のオリジナルソースコードに依存するシステムを扱っている場合は、脆弱性を修正したバージョン1.2.6rc1 (リリース候補第1版) を libpng.org の Web サイト からダウンロードできる。

セキュリティ対策会社 Secunia のセキュリティ勧告では、これらの脆弱性の危険度を5段階で上から2番目としており、意図的に細工した PNG ファイルを仕込んだ、悪意のある Web サイトに誘導したり、同じように細工した PNG を含むメールを表示させることで、脆弱性を持つ libpng ライブラリをリンクしたプログラム (ブラウザやメールクライアント) に影響を及ぼす可能性があると警告した。また、任意の表示画像を設定できるログイン処理プログラムも、ローカルシステムへの攻撃手段として利用できる。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール