The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В libpng устранена опасная уязвимость

23.12.2014 21:28

В новых версиях библиотеки libpng 1.5.21 и 1.6.16 устранена уязвимость, которая может потенциально привести к выполнению кода злоумышленника при обработке специально оформленных PNG-изображений в приложениях, использующих данную библиотеку. Проблема вызвана переполнением кучи в функции png_combine_row(), возникающей при передаче слишком широких изображений с чересстрочным кодированием. Опасность уязвимости усугубляется тем, что код libpng используется в Firefox, Chrome и многих других продуктах, в которых практикуется отображение сторонних изображений.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41332-libpng
Ключевые слова: libpng
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:44, 23/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    в homebrew уже есть!
     
     
  • 2.29, Аноним (-), 03:33, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > в homebrew уже есть!

    А толку? Проприетарь в вашей макосятине все-равно перла либу с собой отдельно. Вот там ее и раздолбают.

     
  • 2.34, Аноним (-), 07:44, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Только толку от этого никакого для безопасности системы.
     

  • 1.2, MPEG LA (ok), 21:51, 23/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    а вот это жопа.
     
     
  • 2.4, тоже Аноним (ok), 22:07, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если у вас программы, использующие libpng, имеют достаточно прав, чтобы произвольный код, выполненный от их имени, был чем-то опасен - да, она самая.
     
     
  • 3.6, Аноним (-), 22:14, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > выполненный от их имени, был чем-то опасен - да, она самая.

    Ну например произвольный код в браузере - может как минимум плотно поработать с сетью, не забыв спереть всякие там куки, историю и прочая. Ну а работа с сетью подразумевает возможность немного поспамить и чего там еще.

     
  • 3.8, Crazy Alex (ok), 22:24, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А иначе - всего-то дрянь сможет поворовать ваши пароли, номера кредитных карт и т.п. Мелочи, чего там.
     
     
  • 4.17, Аноним (-), 01:07, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А также разослать спам, поучаствовать в DDoS, запроксировать хакерскую атаку на пентагон или куда там еще, так то спецназ сначала снимет вам дверь с петель, а потом может и разберутся. Через годик.
     
     
  • 5.40, Андрей (??), 11:07, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>запроксировать хакерскую атаку на пентагон

    Вы так говорите, что это плохо...

     
     
  • 6.42, rachok (?), 14:40, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>Вы так говорите, что это плохо...

    Плохо когда ты участвуешь в этом без своего ведома

     
     
  • 7.45, Аноним (-), 16:16, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >  Плохо когда ты участвуешь в этом без своего ведома

    Особенно учитывая что вместо пентагона может оказаться и какое-нибудь ФСБ. Хакерам то пофиг - крепкие парни дверь снесут не им.

     
  • 3.15, Аноним (-), 00:31, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если у вас программы, использующие libpng, имеют достаточно
    > прав, чтобы произвольный код, выполненный от их имени, был
    > чем-то опасен - да, она самая.

    Не только. Информация об уязвимости может напугать какого-нибудь директора, и если вам придётся в этот момент быть у него сисадмином, возникнет полная, описанная Мпегом ЛосАнжелосовичем, ситуация.

     
     
  • 4.19, Аноним (-), 01:25, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём тут админ?
     
     
  • 5.54, arisu (ok), 07:08, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А при чём тут админ?

    при том, что люди видели шарашкины конторы и считают, что директора везде вникают в такую ерунду.

     
  • 2.5, Аноним (-), 22:08, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > а вот это жопа.

    Да в пингвине то мы обновим libpng - и порядок. А вот юзеры виндов и макоси будут по всему диску выколупывать программы с персональной копией этой либы. Спасибо если не влинкованой статически.

     
     
  • 3.9, Аноним (-), 22:30, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Я не понял, тебе есть че скрывать?)
     
     
  • 4.18, Аноним (-), 01:09, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я не понял, тебе есть че скрывать?)

    Я не понял, ты готов проксировать чужой траффик и отдуваться за чужие фокусы? :)

     
     
  • 5.35, Sluggard (ok), 09:20, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он занят — пакует свои пассы, куки, и номера кредиток, чтоб архив на опеннете выложить.
     
     
  • 6.44, Аноним (-), 15:20, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Держи, запаковано на макоси http://rghost.net/59949300
     
     
  • 7.46, Аноним (-), 16:18, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Держи, запаковано на макоси http://rghost.net/59949300

    Что это за лажа? Ни одного номера креды и пароля.

     
  • 3.38, Нанобот (ok), 10:53, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >А вот юзеры виндов и макоси будут по всему диску выколупывать программы с персональной копией этой либы.

    это у линупсоедов такими страшилками пугают?
    (в реальности юзеры виндов и макоси просто ничего не будут делать)

     
     
  • 4.39, Sluggard (ok), 11:01, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > это у линупсоедов такими страшилками пугают?

    Как можно линуксоида напугать проблемами вендо- и макоюзеров? Не. Развлекают так. )

     
     
  • 5.47, Нанобот (ok), 17:23, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да запросто, например: бойся венды, там юзеру приходится вручную искать на диске и обновляться библиотеки! жуть!  (З.Ы. большая часть российской(да и советской) пропаганды так работает(работала))
     
     
  • 6.50, Аноним (-), 19:11, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ...и что характерно, советской пропаганде не было нужды ничего выдумывать.
     
  • 6.51, Sluggard (ok), 20:42, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > бойся венды, там юзеру приходится вручную искать на диске и обновляться библиотеки! жуть!

    Как говорил герой Александра Абдулова в одном замечательном телефильме: «Грязь не боятся. В неё наступать противно.»

     

  • 1.10, S.L. (?), 22:55, 23/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Проблема вызвана переполнением кучи в функции png_combine_row()

    "Переполнение кучи"?

     
     
  • 2.11, Аноним (-), 23:09, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > "Переполнение кучи"?

    Далёкий от программирования гуманитарий?

    https://ru.wikipedia.org/wiki/%D0%9A%D1%83%D1%87

     
     
  • 3.13, S.L. (?), 23:40, 23/12/2014 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Вот, кстати, в одном угадал, да, гуманитарий в нескольких поколениях. А в программировании с понятием "куча" не сталкивался, спасибо за пояснение.
     
     
  • 4.37, edwin3d (ok), 10:46, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот, кстати, в одном угадал, да, гуманитарий в нескольких поколениях. А в
    > программировании с понятием "куча" не сталкивался, спасибо за пояснение.

    Добрый день.
    Помимо ссылок на Wikipedia начните изучать теорию.
    Если знакомы с B-деревьями, Вам сюда - http://habrahabr.ru/post/112222/
    Если не в курсе работы таковых, то надо брать что-то не мозговыносящее ... да вот - http://books.google.com.ua/books/about/%D0%A1%D1%82%

     
     
  • 5.43, ананим (?), 15:07, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В данном случае это другая куча.
    > Структуру данных куча не следует путать с понятием куча в динамическом распределении памяти.

    https://ru.wikipedia.org/wiki/Куча_%28структура_данных%29

     

  • 1.12, ua9oas (ok), 23:34, 23/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Как много было случаев, чтобы этим кто воспользовался и могут ли от этой уязвимости защищать антивирусы?
     
     
  • 2.14, Аноним (-), 00:27, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Были бы замечены случаи - была бы замечена и уязвимость. Потому количество случаев - либо 0, либо целое положительное число, либо один из этих трёх вариантов.
     
  • 2.21, Аноним (-), 01:42, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > этой уязвимости защищать антивирусы?

    А тут все как с вирусом: сначала ты поймаешь простудифилис, а потом антивирус может и попробует его забороть. Отвалится ли у тебя в результате нос - как повезет.

     

  • 1.33, Аноним (-), 06:41, 24/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > с чересстрочным кодированием

    Библиотеку делали в 1960-м? Зачем это в наши дни?

     
     
  • 2.55, arisu (ok), 07:10, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> с чересстрочным кодированием
    > Библиотеку делали в 1960-м? Зачем это в наши дни?

    тебе потом старшие пояснят, мальчик.

     

  • 1.41, Аноним (-), 12:37, 24/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И опять же: все пользуются, никто не проводит аудит и не коммитит изменения обратно. Зато своя, гордая лицензия.
     
  • 1.48, эцсамое (?), 18:28, 24/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на 1.6.12 не работает кстати.
    как удачно я еще не обновился.
     
  • 1.49, Мицгол (?), 18:56, 24/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Удолил libpng лучше буду сидеть в сети без кортинок как в фидонете.
     
     
  • 2.52, тигар (ok), 22:40, 24/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Удолил libpng лучше буду сидеть в сети без кортинок как в фидонете.

    боюсь шта местная убунтошколота не осилит всю искрометность юмора

     
     
  • 3.56, Аноним (-), 08:15, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > боюсь шта местная убунтошколота не осилит всю искрометность юмора

    Какой оригинальный вариант сказки про п...сов и Д'Артаньяна.

     
     
  • 4.58, Аноним (-), 22:29, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какой оригинальный вариант сказки про п...сов и Д'Артаньяна.

    Эх, школота :-) Уже даже не представляете себе зачем представители более старшего поколения собирались в сторожках предприятий по ночам попить пиваса под звук перешитого в курьер спортстера

     
     
  • 5.59, тигар (ok), 22:32, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Какой оригинальный вариант сказки про п...сов и Д'Артаньяна.
    > Эх, школота :-) Уже даже не представляете себе зачем представители более старшего
    > поколения собирались в сторожках предприятий по ночам попить пиваса под звук
    > перешитого в курьер спортстера

    ну они из другого времени. вcuntактике там, гоогле, убунту/виндоуз7. зачем им это. они и пиво-то не пьют, мама не разрешает

     
     
  • 6.60, Аноним (-), 23:12, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ну они из другого времени. вcuntактике там, гоогле, убунту/виндоуз7

    Ну, это уже старческое брюзжание, коллега. Далеко не вся молодежь так праздно прожигает время. Некоторые представители, такие как <sarcasm>Поттеринг</sarcasm> и пользу сообществу приносят. Идеи мудрые массам навязывают.

     
  • 6.61, arisu (ok), 23:18, 25/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ну они из другого времени. вcuntактике там, гоогле, убунту/виндоуз7.

    да, никакой романтики. то ли дело — смотреть на тмыло и гадать: «оборвётся — не оборвётся… оборвётся — не оборвётся…»

     

  • 1.53, mrd (??), 01:47, 25/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понимаю что ветка 1.4 и ниже не затронуты?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру