Risque
Exécution de code arbitraire.
Systèmes affectés
- libpng versions 1.5.x antérieures à 1.5.10 ;
- libpng versions 1.4.x antérieures à 1.4.11 ;
- libpng versions 1.2.x antérieures à 1.2.49 ;
- libpng versions 1.0.x antérieures à 1.0.59.
Résumé
Une vulnérabilité dans libpng permet à une personne malintentionnée de compromettre une application utilisant cette bibliothèque.
Description
La vulnérabilité est due à une erreur dans la fonction png_set_text_2() et permet à un attaquant de corrompre la mémoire grâce à un fichier PNG spécialement conçu.
L'exploitation de cette vulnérabilité pourrait permettre l'exécution de code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence CVE CVE-2011-3048 :
https://www.cve.org/CVERecord?id=CVE-2011-3048
- Bulletin de mise à jour libpng 1.5.10 du 29 mars 2012 :
http://www.libpng.org/pub/png/src/libpng-1.5.10-README.txt
- Bulletin de mise à jour libpng 1.2.49 du 29 mars 2012 :
http://www.libpng.org/pub/png/src/libpng-1.2.49-README.txt