در اواخر ماه دسامبر، به‌روزرسانی برای کتابخانه‌ی Libpng منتشر شد. در این به‌روزرسانی یک آسیب‌پذیری که در سال ۱۹۹۵ توسط توسعه‌دهندگان کشف شده بود، وصله شده است. 

کتابخانه‌ی Libpng مرجع رسمی گرافیک‌های شبکه‌ای قابل حمل (PNG) است. این چارچوب و بستر مستقل نزدیک به دو دهه است که در محصولات مختلفی از جمله توزیع‌های لینوکس مورد استفاده قرار می‌گیرد. 

نسخه‌های ۱.۶.۲۶، ۱.۵.۲۷، ۱.۲.۵۶، ۱.۰.۶۶ و نسخه‌های قبل‌تر از این‌ها تحت یک آسیب‌پذیری ارجاع به اشاره‌گر تهی قرار گرفته بودند. این آسیب‌پذیری در تابع ()png_set_text_۲ وجود داشت.

این حفره‌ی امنیتی با شناسه‌ی CVE-۲۰۱۶-۱۰۰۸۷ تنها ویرایشگر تصاویر PNG را تحت تأثیر قرار می‎داد و برنامه‌هایی که برای نمایش این تصاویر مورد استفاده قرار می‌گرفت دارای این آسیب‌پذیری نبودند. همچنین برای بهره‌برداری از این آسیب‌پذیری به تعامل کاربر نیاز بود و بهره‌برداری منجر به حمله‌ی منع سرویس می‌شد.

 توسعه‌دهندگان توزیع Slackware لینوکس در مشاوره‌نامه‌ای گفتند: «برای اینکه برنامه‌ای دارای این آسیب‌پذیری باشد، باید تکه‌ای از متن را در داخل ساختار png بارگذاری کرده و سپس تمامی متن را حذف کند و در ادامه تکه متن دیگری را در ساختار png اضافه کند. این توالی خیلی بعید به نظر می‌رسد ولی اتفاق افتاده است.»

این آسیب‌پذیری که در سال ۱۹۹۵ معرفی شده بود، توسط پاتریک کشیشیان کشف و در نسخه‌ی ۰.۷۱ وصله شد. این اشکال در اواخر ماه دسامبر با انتشار نسخه‌های ۱.۶.۲۷، ۱.۵.۲۸، ۱.۴.۲۰، ۱.۲.۵۷ و ۱.۰.۶۷ برطرف شد.

علاوه بر توسعه‌دهندگان توزیع Slackware، توسعه‌دهندگان RedHat، دبیان، جنتو، آرچ‌لینوکس و SuSE نیز برای این آسیب‌پذیری مشاوره‌نامه منتشر کردند. هرچند این آسیب‌پذیری در گروه آسیب‌پذیری‌های کم‌اهمیت درجه‌بندی شد و تنها تعدادی از توزیع‌های لینوکس آن را وصله کردند.

در وب‌گاه رسمی Libpng از سال ۲۰۰۴ تاکنون، ۲۴ هشدار در خصوص آسیب‌پذیری‌های منع سرویس و اجرای کد منتشر شده است. آسیب‌پذیری CVE-۲۰۱۶-۱۰۰۸۷ نیز تنها اشکالی است که در سال ۲۰۱۶ شناسایی و وصله شده است. سال قبل توسعه‌دهندگان Libpng سه آسیب‌پذیری را برطرف کرده بودند که دو مورد از این آسیب‌پذیری‌ها مربوط به خرابی حافظه بود.

منبع : asis

گردآوری و انتشار : آنتی ویروس دکتر وب