BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

libpng库发现漏洞

| 作者 Jeff Martin 关注 17 他的粉丝 ,译者 金灵杰 关注 5 他的粉丝 发布于 2015年11月21日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

近日,根据libpng库托管人Glenn Randers-Pherson所述,大量热门应用使用的libpng库发现一个漏洞。对于那些应用程序中使用了libpng库的系统管理员和用户来说,需要尽快更新他们的应用和系统。

大量应用程序使用libpng以实现对PNG格式图片的读写。此次libpng库中受影响的代码在png_set_PLTE和png_get_PLTE函数中,根据Randers-Pherson的描述,它们“当在读写位深度(bit depth)小于8的PNG文件时,未能检查越界调色板”。使用受影响版本libpng库构建的应用程序易受攻击。尤其需要注意的是使用libpng静态库的应用程序需要单独更新,因为它们无法因为系统库更新而避免这个漏洞。

重要通知:接下来InfoQ将会选择性地将部分优秀内容首发在微信公众号中,欢迎关注InfoQ微信公众号第一时间阅读精品内容。

Randers-Pherson已经发布了更新的源代码,指示需要修复的地方,用户和开发者已经可以开始更新系统。主流Linux发行版仍然在积极进行修复,例如Debian正在积极修复,而Ubuntu已经完成分级(Triaged),但还未开始修复。我们鼓励读者检查自己的系统是否有更新,并且能够尽快应用更新。出现的漏洞传播的新闻评论表明了问题的严重性。用户“jimrandomh”在Hacker News上指出,由于libpng库用于非常多的应用程序,目前无法预计有多少应用会受到影响。

查看英文原文:Vulnerability Discovered in libpng


感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者(已满),InfoQ读者交流群(#2)InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT