米US-CERTなどは米国時間8月4日,PNG(Portable Network Graphics)形式の画像処理ライブラリ「libpng」にセキュリティ・ホールが見つかったことを明らかにした。影響を受けるのは,libpng バージョン 1.2.5以前(1.2.5を含む)を使用するシステムやアプリケーション。細工が施されたPNG画像を読む込むと,システム上で任意のプログラムを実行させられたり,アプリケーションがクラッシュしたりする。対策は,OSベンダーなどが提供するパッチを適用することなど。
今回,US-CERTが公開したlibpngに関するセキュリティ・ホールは6種類。
(1)libpng fails to properly check length of transparency chunk (tRNS) data
(2)libpng png_handle_iCCP() NULL pointer dereference
(3)libpng integer overflow in image height processing
(4)libpng png_handle_sPLT() integer overflow
(5)libpng png_handle_sBIT() performs insufficient bounds checking
(6)libpng contains integer overflows in progressive display image reading
(1)はバッファ・オーバーフローのセキュリティ・ホール。細工が施されたPNG画像をlibpngが読み込むと,バッファ・オーバーフローが発生し,画像に仕込まれた任意のプログラムを実行させられる可能性がある。細工を施したPNG画像が張り込まれたWebページやHTMLメールを閲覧するだけで影響を受ける。
(2)と(3)は,細工が施されたPNG画像をPNG対応アプリケーションで開こうとすると,そのアプリケーションがクラッシュするセキュリティ・ホール。(4)~(6)については,具体的な影響は明らかになっていないという。
対策はlibpngをアップデートすること。セキュリティ・ホールを修正した「libpng 1.2.6rc1」が公開されているが,OSベンダーなどが公開するパッチやアップデート・パッケージを適用したほうがよいだろう。例えば米CIACでは,Red Hat Linuxの対応状況を公開している。Red Hat以外の対応状況については,各OS/アプリケーション・ベンダーのWebサイトなどを参照してほしい。
US-CERTの「Vulnerability Notes」や,JPCERT/CCとIPAが共同運用する「JP Vendor Status Notes」でも,各ベンダーの対応状況を参照できる。これらの情報は随時更新されるので,最新の情報を参照するようにしたい。
◎参考資料
◆Multiple Vulnerabilities in libpng(米US-CERT)
◆Vulnerability Notes(米US-CERT)
◆JVNTA04-217A libpng に複数の脆弱性(JP Vendor Status Notes)
◆O-192: "libpng" Package Vulnerabilities(米CIAC)
(勝村 幸博=IT Pro)