CVE-2025-65018
Mis à jour :
Vulnérabilité dans libpng : risque d’exécution de code arbitraire
Une faille critique, identifiée sous la référence CVE-2025-65018, a été découverte dans les versions 1.6.0 à 1.6.50 de la bibliothèque libpng. Cette vulnérabilité de dépassement de tampon dans la mémoire vive (heap buffer overflow) est déclenchée lors du traitement d’images PNG entrelacées sur 16 bits, lorsqu’elles sont converties vers un format de sortie sur 8 bits via la fonction png_image_finish_read, et plus spécifiquement dans le code de png_combine_row.
Pour exploiter cette faille, un utilisateur doit interagir avec un fichier PNG spécialement conçu. Une exploitation réussie peut entraîner la divulgation d’informations ou une interruption de service (déni de service). De plus, dans certaines configurations de la mémoire vive, la corruption du tas qu’elle provoque pourrait permettre l’exécution de code arbitraire.
- Points Clés :
- Vulnérabilité de type heap buffer overflow.
- Affecte libpng versions 1.6.0 à 1.6.50.
- Déclenchée dans
png_combine_rowlors du traitement d’images PNG 16 bits entrelacées vers un format 8 bits viapng_image_finish_read. - Nécessite une interaction utilisateur via un fichier PNG malveillant.
- Vulnérabilités :
- CVE-2025-65018 : Heap buffer overflow.
- Impact Potentiel :
- Divulgation d’informations.
- Déni de service.
- Exécution de code arbitraire (dans certains cas).
- Recommandations :
- Mettre à jour libpng vers une version corrigée. (Les versions spécifiques corrigées ne sont pas mentionnées dans le texte source, mais la mise à jour est la recommandation standard pour ce type de vulnérabilité).