10/03/04 20:43:04
PNGデータのエンコード/デコード処理ライブラリ「libpng」にサービス停止(DoS)を誘発させる恐れのある脆弱性が見つかり、
情報処理推進機構とJPCERTコーディネーションセンターが3月4日付で情報を公開した。
脆弱性は、特定のPNGファイルの処理に起因するもので、細工された補助チャンクが含まれるPNGファイルを処理する際に、
膨大なメモリとCPUを消費する場合があり、DoSが誘発される恐れがある。
脆弱性はlibpng 1.4.0以前に存在しており、開発元のPNG Development Groupは2月27日に脆弱性へ対処した1.4.1、1.2.43、
1.0.53を公開して、アップデートの適用もしくは回避策を実施するよう呼び掛けている。
国内では、フェンリルが無償ペイントソフト「PictBear」に脆弱なバージョンのlibpngを使用していたとして、更新版の
PictBear 2.01をリリースした。またLunascapeは、ブラウザのLunascape6でエンジンにGeckoもしくはWebKitを利用して
いる場合に影響を受けるとして、Tridentエンジンへの切り替えや、画像を読み込まない設定を実施するなどの回避策を
適用するよう呼び掛けている。
URLリンク(www.itmedia.co.jp)