JVNDB-2010-001730
|
libpng に脆弱性
|
|
libpng には、PNG ファイルの処理に脆弱性が存在します。
libpng には、細工された PNG ファイルを処理する際にバッファオーバーフローが発生する脆弱性が存在します。
PNG Development Group によると:
Several versions of libpng through 1.4.2 (and through 1.2.43 in the older series) contain a bug whereby progressive applications such as web browsers (or the rpng2 demo app included in libpng) could receive an extra row of image data beyond the height reported in the header, potentially leading to an out-of-bounds write to memory (depending on how the application is written) and the possibility of execution of an attacker's code with the privileges of the libpng user (including remote compromise in the case of a libpng-based browser visiting a hostile web site).
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Mozilla Foundation
- Mozilla Firefox 3.6.7 未満
- Mozilla Firefox 3.5.11 未満
- Mozilla SeaMonkey 2.0.6 未満
- Mozilla Thunderbird 3.1.1 未満
- Mozilla Thunderbird 3.0.6 未満
PNG Development Group
- libpng 1.4.3 より前のバージョン
- libpng 1.2.44 より前のバージョン
- libpng 1.0.x
VMware
- VMware Player 3.1.x
- VMware Player 2.5.x
- VMware Server
- VMware Workstation 7.1.x
- VMware Workstation 6.5.x
アップル
- Apple TV (2nd generation) 4.0 ソフトウェア
- iTunes 10
- Safari 5
- Apple Mac OS X v10.5.8
- Apple Mac OS X v10.6 から v10.6.4
- Apple Mac OS X Server v10.5.8
- Apple Mac OS X Server v10.6 から v10.6.4
- iOS 3.2 から 3.2.2 (iPad 用)
- iOS 2.0 から 4.1 (iPhone 3G 以降の場合)
- iOS 2.1 から 4.1 (iPod touch (2nd generation) 以降の場合)
- iPad
- iPod touch
オラクル
- Oracle Solaris 10
- Oracle Solaris 11 Express
- Oracle Solaris 9
- Oracle Solaris 8
サイバートラスト株式会社
- Asianux Server 3 (x86)
- Asianux Server 3 (x86-64)
- Asianux Server 3.0
- Asianux Server 3.0 (x86-64)
- Asianux Server 4.0
- Asianux Server 4.0 (x86-64)
フェンリル株式会社
レッドハット
- Red Hat Enterprise Linux 5 (server)
- Red Hat Enterprise Linux 3 (as)
- Red Hat Enterprise Linux 4 (as)
- Red Hat Enterprise Linux 4.8 (as)
- Red Hat Enterprise Linux 3 (es)
- Red Hat Enterprise Linux 4 (es)
- Red Hat Enterprise Linux 4.8 (es)
- Red Hat Enterprise Linux 3 (ws)
- Red Hat Enterprise Linux 4 (ws)
- Red Hat Enterprise Linux Desktop 3.0
- Red Hat Enterprise Linux Desktop 4.0
- Red Hat Enterprise Linux Desktop 5.0 (client)
- RHEL Desktop Workstation 5 (client)
|
|
|
細工された PNG ファイルを閲覧することで、遠隔の第三者によって任意のコードを実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。
|
|
Mozilla Foundation
PNG Development Group
VMware
アップル
オラクル
サイバートラスト株式会社
フェンリル株式会社
レッドハット
|
|
- 古典的バッファオーバーフロー(CWE-120) [NVD評価]
|
|
- CVE-2010-1205
|
|
- JVN : JVNVU#643615
- JVN : JVNVU#331391
- JVN : JVNVU#935740
- National Vulnerability Database (NVD) : CVE-2010-1205
- US-CERT Vulnerability Note : VU#643615
- Secunia Advisory : SA39925
- Secunia Advisory : SA40302
- Secunia Advisory : SA40642
- Secunia Advisory : SA40688
- SecurityFocus : 41174
- ISS X-Force Database : 59815
- VUPEN Security : VUPEN/ADV-2010-1612
- VUPEN Security : VUPEN/ADV-2010-1859
|
|
- [2010年07月27日]
掲載
[2010年08月17日]
ベンダ情報:ミラクル・リナックス (firefox-3.6.7-3.0.1.AXS3, xulrunner-1.9.2.7-3.0.1.AXS3) を追加
ベンダ情報:ミラクル・リナックス (2097) を追加
[2010年09月01日]
影響を受けるシステム:アップル (HT4312) の情報を追加
ベンダ情報:アップル (HT4312) を追加
ベンダ情報:ミラクル・リナックス (2111) を追加
[2010年10月08日]
影響を受けるシステム:VMware (VMSA-2010-0014) の情報を追加
ベンダ情報:VMware (VMSA-2010-0014) を追加
[2010年11月26日]
影響を受けるシステム:アップル (HT4435) の情報を追加
影響を受けるシステム:アップル (HT4456) の情報を追加
影響を受けるシステム:アップル (HT4457) の情報を追加
ベンダ情報:アップル (HT4435) を追加
ベンダ情報:アップル (HT4456) を追加
ベンダ情報:アップル (HT4457) を追加
[2011年03月24日]
影響を受けるシステム:アップル (HT4554) の情報を追加
影響を受けるシステム:アップル (HT4566) の情報を追加
影響を受けるシステム:オラクル (multiple_vulnerabilities_in_libpng) の情報を追加
ベンダ情報:アップル (HT4554) を追加
ベンダ情報:アップル (HT4566) を追加
ベンダ情報:オラクル (multiple_vulnerabilities_in_libpng) を追加
[2012年03月27日]
影響を受けるシステム:オラクル (multiple_vulnerabilities_in_libpng) の情報を更新
|
