In der Programmbibliothek libpng, die PNG-Grafiken verarbeitet, existiert eine Sicherheitslücke (CVE-2016-10087). Die Versionen bis 1.0.66, 1.2.56, 1.4.19, 1.5.27 und 1.6.26 sind laut den Entwicklern betroffen.

Bereits seit 1995 ist die Schwachstelle im Programm-Code. Sicherheitsupdates stehen seit Ende Dezember vergangenen Jahres zum Download bereit. Das von der Lücke ausgehende Risiko wird vom CERT-Bund als niedrig eingestuft.

Aus der Ferne soll über die Lücke ein Übergriff ohne Authentifizierung möglich sein. Den libpng Entwicklern zufolge muss ein Angreifer eine Applikation ausführen, mit der mehrere Text-Chunks in PNG-Bildern geschrieben und gelöscht werden. Über den Null-Pointer Dereference-Bug soll so eine DoS-Attacke ausgeübt werden können.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE