CVE-2025-64506
Mis à jour :
Fuite d’informations et déni de service via une vulnérabilité dans libpng
Une vulnérabilité de dépassement de lecture dans le tas (heap buffer over-read) a été identifiée dans la fonction png_write_image_8bit de la bibliothèque libpng. Elle affecte le traitement des images PNG 8 bits lorsqu’elles sont traitées via l’API d’écriture simplifiée avec l’option convert_to_8bit activée. Un fichier image PNG 8 bits spécialement conçu peut déclencher cette faille.
Le problème réside dans une condition qui autorise à tort le traitement d’entrées 8 bits comme si elles étaient en 16 bits, ce qui entraîne des lectures au-delà des limites du tampon alloué. Cette faille peut impacter les images en niveaux de gris 8 bits avec canal alpha, les images RVB/RVBA, ainsi que les images dont les données de ligne sont incomplètes.
Points clés :
- Vulnérabilité : Heap buffer over-read.
- Composant affecté : Fonction
png_write_image_8bitde libpng. - Conditions déclenchantes : Traitement d’images PNG 8 bits avec l’API simplifiée et l’option
convert_to_8bitactivée.
Vulnérabilités :
- CVE-2025-64506
Impact potentiel :
- Divulgation d’informations via la fuite de mémoire du tas (heap memory leakage).
- Déni de service (DoS) par crash de l’application.
Recommandations :
Bien que l’article ne fournisse pas de recommandations directes pour l’utilisateur final, il est implicitement suggéré de mettre à jour la bibliothèque libpng vers une version corrigée dès qu’elle sera disponible pour remédier à cette vulnérabilité. Les développeurs utilisant cette bibliothèque devraient être vigilants quant à la gestion des entrées d’images PNG 8 bits et l’activation de l’option convert_to_8bit.