多くの人気アプリケーションが使用しているlibpngライブラリに脆弱性が見つかったと,ライブラリを管理するGlenn Randers-Pherson氏が発表した。同ライブラリを使用したアプリケーションの管理者とユーザは,可能な限り早急に,アプリケーションないしシステムのアップデートを行う必要がある。
libpngは,PNGイメージフォーマットを読み書きのために,多数のアプリケーションが使用しているライブラリだ。影響のあるコードは png_set_PLTE/png_get_PLTEに関連するものだ。Randers-Pherson氏によると,これらの関数の “bit_depthが8未満のPNGファイルの読み込みと書き込み時の,パレットの範囲外チェックが適切ではない”という。結果として,影響のあるバージョンを使用して開発されたアプリケーションには,この脆弱性を悪用される可能性がある。libpngのライブラリを静的リンクしているアプリケーションは,システムレベルのライブラリアップデートの恩恵を受けることができないため,この問題は特に重要だ。
Randers-Pherson氏は,必要な修正を行ったソースコードをすでにリリースしているので,開発者は自身のシステムを更新することができる。おもなLinuxディストリビュータは現在,アップデートなどの積極的な対応を始めたところだ。例えばDebianは修正対応を行っているが,Ubuntuはバグとして認識をしたものの,まだ作業を開始していない。読者は自身のシステムのアップデートを確認して,可能な限り早急に適応することが望まれる。脆弱性の拡散をニュースとして伝えるコメントに,この問題の重要性が表されている。Hacker Newsの”jimrandomh”は,libpngは多数のプログラムで使用されているので,脆弱性の数が重大であることは明白だ,と記している。