CVE-2025-64720
Mis à jour :
Exploitation de libpng via des images PNG malveillantes
Une faille de sécurité, identifiée sous la référence CVE-2025-64720, affecte les versions 1.6.0 à 1.6.50 de la bibliothèque libpng. Elle concerne une lecture hors limites lors du traitement d’images PNG utilisant des palettes et disposant d’une couche alpha (transparence), notamment lorsque l’option PNG_FLAG_OPTIMIZE_ALPHA est activée.
Le problème survient lors de la compositing de fond dans le code de gestion des palettes, spécifiquement dans la fonction png_image_read_composite. Ce défaut viole une condition nécessaire à la bonne utilisation de l’API simplifiée de libpng.
L’exploitation est possible si une application victime utilise l’API simplifiée pour lire une image PNG spécialement conçue. Cette image doit utiliser le mode palette, comporter un segment de transparence et être traitée avec un format compatible alpha (par exemple, PNG_FORMAT_RGBA). L’accès hors limites se produit alors via la macro PNG_sRGB_FROM_LINEAR dans png_image_read_composite.
Points clés :
- Vecteur d’attaque : Traitement d’images PNG malveillantes.
- Type de vulnérabilité : Lecture hors limites (Out-of-bounds read).
- Composants affectés : libpng versions 1.6.0 à 1.6.50.
- Conditions d’exploitation : Utilisation de l’API simplifiée de libpng, images PNG avec palette et transparence, format alpha activé.
Vulnérabilité :
- CVE : CVE-2025-64720
- Description : Lecture hors limites dans la fonction
png_image_read_compositelors du traitement d’images palette avecPNG_FLAG_OPTIMIZE_ALPHAactivé et une transparence.
Recommandations :
Il est conseillé de mettre à jour la bibliothèque libpng vers une version corrigée. Les utilisateurs d’applications dépendant de libpng devraient appliquer les mises à jour de sécurité fournies par leurs éditeurs d’applications dès qu’elles sont disponibles.