Pliki graficzne PNG mogą szkodzić

Sześć błędów występujących w popularnym w świecie open-source formacie graficznym PNG może stanowić poważne zagrożenie dla bezpieczeństwa komputerów pracujących pod kontrolą systemu Linux. Wykorzystując te luki można również przeprowadzić zdalny atak na platformy Windows oraz Mac OS X.

Problem występuje w bibliotece libPNG odpowiedzialnej za obsługę formatu PNG (portable network graphic), a używanej m.in. przez przeglądarki internetowe Mozilla, Opera, a także aplikacje klienckie poczty elektronicznej. Najgroźniejsza usterka pozwala na uruchomienie szkodliwego kodu, powodującego np. przepełnienie bufora, w momencie kiedy program załaduje obraz w specjalnie przetworzonym formacie png. Według niezależnego analityka ds. bezpieczeństwa, Chrisa Evansa, na atak narażone są m.in. klienty poczty w Mac OS X, przeglądarki Opera oraz Internet Explorer w systemie Windows, oraz przeglądarki Mozilla i Netscape na platformie Solaris. Firma Secunia, zajmująca się monitorowaniem bezpieczeństwa, sklasyfikowała problem na drugim miejscu pod względem ważności, jako wysoce krytyczny.

Nie jest jednak pierwszy przypadek tego typu. Osiemnaście miesięcy temu Microsoft poinformował o krytycznym błędzie, występującym podczas obsługi formatu png przez przeglądarkę Internet Explorer. Ponad dwa lata temu, błąd w formacie kompresji stosowanym w systemie Linux sprawił, że obrazy png (a także kilka innych formatów plików) mogły doprowadzić do zawieszenia aplikacji. Uaktualnioną wersję biblioteki libPNG można znaleźć w najnowszych dystrybucjach, oraz na stronie http://www.libpng.org/pub/png/libpng.html