libpng 库发现漏洞

近日，根据 libpng 库托管人 Glenn Randers-Pherson 所述，大量热门应用使用的 libpng 库发现一个漏洞。对于那些应用程序中使用了 libpng 库的系统管理员和用户来说，需要尽快更新他们的应用和系统。

大量应用程序使用 libpng 以实现对 PNG 格式图片的读写。此次 libpng 库中受影响的代码在 png_set_PLTE 和 png_get_PLTE 函数中，根据 Randers-Pherson 的描述，它们“当在读写位深度（bit depth）小于 8 的 PNG 文件时，未能检查越界调色板”。使用受影响版本 libpng 库构建的应用程序易受攻击。尤其需要注意的是使用 libpng 静态库的应用程序需要单独更新，因为它们无法因为系统库更新而避免这个漏洞。

重要通知：接下来 InfoQ 将会选择性地将部分优秀内容首发在微信公众号中，欢迎关注 InfoQ 微信公众号第一时间阅读精品内容。

Randers-Pherson 已经发布了更新的源代码，指示需要修复的地方，用户和开发者已经可以开始更新系统。主流 Linux 发行版仍然在积极进行修复，例如 Debian 正在积极修复，而 Ubuntu 已经完成分级（Triaged），但还未开始修复。我们鼓励读者检查自己的系统是否有更新，并且能够尽快应用更新。出现的漏洞传播的新闻评论表明了问题的严重性。用户“jimrandomh”在 Hacker News 上指出，由于 libpng 库用于非常多的应用程序，目前无法预计有多少应用会受到影响。

查看英文原文： Vulnerability Discovered in libpng

感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群（已满），InfoQ 读者交流群（#2））。