CVE-2025-65018
Mis à jour :
Vulnérabilité dans libpng : Débordement de tampon dans le tas
Une faille de sécurité, identifiée sous le code CVE-2025-65018, a été découverte dans les versions 1.6.0 à 1.6.50 de la bibliothèque libpng. Cette vulnérabilité se manifeste par un débordement de tampon dans le tas (heap buffer overflow) au sein de la fonction png_combine_row.
Elle est activée lors du traitement d’images PNG entrelacées en 16 bits lorsqu’elles sont converties vers un format de sortie 8 bits par l’intermédiaire de png_image_finish_read.
Impact potentiel :
- Divulgation d’informations.
- Déni de service.
- Dans certaines configurations de tas, exécution de code arbitraire grâce à la corruption du tas.
Conditions d’exploitation :
La vulnérabilité nécessite une interaction utilisateur, déclenchée par le traitement d’un fichier PNG malveillant.
Points clés :
- Type de vulnérabilité : Débordement de tampon dans le tas (Heap buffer overflow).
- Composant affecté : Bibliothèque libpng, versions 1.6.0 à 1.6.50.
- Fonction spécifique :
png_combine_row. - Scénario d’exploitation : Traitement d’images PNG entrelacées 16 bits vers un format de sortie 8 bits.
- Déclencheur : Fichier PNG malveillant.
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, il est fortement conseillé aux utilisateurs des versions affectées de libpng de mettre à jour vers une version corrigée dès que possible. Les développeurs utilisant libpng devraient également vérifier et mettre à jour leurs intégrations.