CVE-2025-65018
Mis à jour :
Vulnérabilité dans libpng : risques et remèdes
Une faille critique, identifiée comme CVE-2025-65018, a été découverte dans plusieurs versions de la bibliothèque libpng (1.6.0 à 1.6.50). Cette vulnérabilité de type “dépassement de tampon dans le tas” (heap buffer overflow) survient lors du traitement d’images PNG entrelacées de 16 bits avec un format de sortie de 8 bits par la fonction png_image_finish_read, spécifiquement au sein de png_combine_row.
Pour exploiter cette faille, l’utilisateur doit interagir en ouvrant un fichier PNG malveillant. Les conséquences d’une exploitation réussie peuvent inclure la divulgation d’informations confidentielles et/ou une interruption de service (déni de service). Dans certaines configurations de la mémoire du tas, cette vulnérabilité pourrait même permettre l’exécution de code arbitraire via la corruption du tas.
Points Clés :
- Type de vulnérabilité : Dépassement de tampon dans le tas (heap buffer overflow).
- Composant affecté : libpng, versions 1.6.0 à 1.6.50.
- Fonction vulnérable :
png_combine_row, appelée parpng_image_finish_read. - Scénario de déclenchement : Traitement d’images PNG 16 bits entrelacées avec format de sortie 8 bits.
- Interaction utilisateur requise : Ouverture d’un fichier PNG malveillant.
Vulnérabilités :
- CVE-2025-65018 : Dépassement de tampon dans le tas (heap buffer overflow).
Recommandations :
- Bien que non explicitement mentionné dans l’extrait, la recommandation implicite et la plus sûre est de mettre à jour libpng vers une version corrigée qui résout CVE-2025-65018.