libpngのNULL参照バグ
「libpng」は、PNG画像の読み込みや作成を行うライブラリーです。
「Ubuntu」でも多くのソフトウェアがこのライブラリーを利用してPNG画像の操作を行っています。
2016年12月29日に、NULL参照バグを修正した「libpng」がリリースされました。
21年前からあったバグ
このNULL参照バグは、1995年6月26日にリリースされた「libpng 0.71」から存在しており、21年以上経過した昨日、このバグを修正した「libpng」がリリースされました。脆弱性の内容
アプリケーションがテキストチャンクをPNG構造体の中に読み込んだ後、全てのテキストを削除し、他のテキストチャンクを同じPNG構造体に追加すると、NULL参照が「png_set_text_2()」で発生する可能性があるとのことです。リリースされたバージョン
今回のリリースでリリースされた「libpng」のバージョンは、以下の通りです。- libpng-1.6.27
- libpng-1.5.28
- libpng-1.2.57
- libpng-1.0.67
- libpng-1.4.20
- libpng-1.7.0beta86
Ubuntuでのアップデートはこれから
本リリースはまだ「Ubuntu」のアップデートとして提供されていません。本リリースはアップストリームでのリリースですので、今後何かしらの形で「Ubuntu」でアップデートが提供されるでしょう。
