图片处理库libpng日前曝出漏洞，且需要尽快得到修复。最大的问题在于，libpng的普及范围实在太过广泛——浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具、音乐播放器等每款操作系统都离不开的应用程序。

经过精心构建的图片能够导致应用甚至服务器进程发生崩溃。

首先强调，这不是什么好消息：图片处理库libpng日前曝出漏洞，且需要尽快得到修复。

最大的问题在于，libpng的普及范围实在太过广泛——浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具、音乐播放器等每款操作系统都离不开的应用程序。

就目前来讲，该漏洞造成的影响还单纯只是拒绝服务，但其后续影响绝不可能仅限于此。因为这项漏洞还允许攻击者造成应用程序崩溃，而这正是恶意人士们实现进一步入侵的绝佳起点。

Libpng安全负责人Glenn Randers-Pehrson为该漏洞申报了通用漏洞披露（简称CVE）。他同时写道：

“我针对所有libpng版本当中的png_set_PLTE/png_get_PLTE函数向CVE进行了安全漏洞申报。这些函数在写入或者读取 PNG文件时，无法为bit_depth小于8的对象检查超出范围的调色板。一部分应用程序可能会从文件头数据块（简称IHDR）当中读取到这样的数位色 深并为一套2^N调色板分配内存，在这种情况下即使位深低于8、libpng仍然会返回一个最高提供256色的调色板。

“目前libpng的1.6.19、1.5.24、1.4.17、1.2.54以及1.0.64等版本已经于今天（2015年11月12号）获得了最新修复。大家可以阅读libpng.sourceforge.net了解细节信息。”

（备注：我们访问了该Sourceforge页面，但其当时已经被众多焦虑的软件开发者所挤爆。）

这项漏洞被CVE评为7.5分。其易于利用，导致网络面临潜在风险，而且正如NIST所指出，其“允许在未经授权的情况下披露信息；允许未经授权的修改以及由此造成的服务中断”。

文章转载自 开源中国社区[https://www.oschina.net]