公開日:2011/01/12 最終更新日:2011/03/28

JVNVU#643140
libpng 1.5.0 の png_set_rgb_to_gray() 関数に脆弱性

概要

libpng 1.5.0 の png_set_rgb_to_gray() 関数には、脆弱性が存在します。

影響を受けるシステム

  • libpng 1.5.0

詳細情報

libpng 1.5.0 の png_set_rgb_to_gray() 関数には、脆弱性が存在します。

なお、libpng 1.5.0 より前のバージョンは、本脆弱性の影響を受けないとのことです。

想定される影響

アプリケーションをクラッシュされたり、ユーザの権限で任意のコードを実行されたりする可能性があります。

対策方法

2011年1月12日現在、対策方法はありません。

2011年1月中に本脆弱性に対応した、libpng 1.5.1 が公開される予定です。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • libpng 1.5.0 より前のバージョンを使用する

ベンダ情報

ベンダ リンク
PNG Development Group libpng

参考情報

  1. US-CERT Vulnerability Note VU#643140
    Libpng 1.5.0 png_set_rgb_to_gray() vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0408
JVN iPedia JVNDB-2011-001025

更新履歴

2011/03/28
関連文書に JVN iPedia へのリンクを追加しました。