QR code per la pagina originale

Il pericolo viene ora dalle immagini PNG

Varie vulnerabilità sono state riscontrate all'interno della libreria libPNG usata per l'interpretazione delle immagini in formato Portable Network Graphics. Rischio di Denial Of Service, patch già pronte.

,

Dopo gli avvisi indicanti il pericolo proveniente da immagini .bmp o .gif malformate, ora è il momento dei .png: un bug viene infatti a galla nella libreria libPNG del formato Portable Network Graphics ed evidenzia tutta la sua pericolosità con il giudizio Secunia: il livello di pericolo è «Highly critical» e fortunatamente sono già disponibili le patch risolutive.

Il problema è insito nella libPNG 1.2.5 e la soluzione è duplice: applicare la patch correttiva oppure compiere l’upgrade alla versione 1.2.6rc1 (o 1.0.16rc1). La falla è in grado di compromettere il sistema in uso mediante Denial Of Service con la conseguente possibilità di un controllo da remoto della macchina attaccata. Entro poche ore anche Mozilla rilascerà la propria segnalazione indicando in Mozilla 1.7.2, Firefox 0.9.3 e Thunderbird 0.7.3 gli applicativi già immuni.

Il PNG è una specifica W3C fin dal 1996, nel 2003 è stato rilasciato in una seconda versione e poco per volta sta confermando gli elogi iniziali di Tim Berners Lee («PNG è un significativo passo avanti nel design grafico del web e siamo eccitati dalle possibilità che promette») emergendo nella competizione con gli altri formati tuttora dominanti.

Il pericolo della vulnerabilità multipla scoperta da Chris Evans nella libreria libPNG apre a due possibili prospettive di exploit: l’immagine maligna può essere infatti proposta tramite un contatto con appositi siti web, oppure ancora inviata via mail tramite il classico sistema dei canonici virus di questo tipo.