Устранена 30-летняя уязвимость в libpng, позволяющая краш приложений и удаленное выполнение кода через PNG-файлы. Исправление доступно в версии 1.6.55. Эксплуатация сложна, но уязвимость подчеркивает риски старого ПО и рост обнаружения ошибок с помощью ИИ. — csoonline.com
Разработчики устранили давнюю уязвимость в широко используемой библиотеке с открытым исходным кодом libpng, существовавшую с момента выпуска ПО почти 30 лет назад.
Переполнение буфера в куче (heap buffer overflow) в libpng приводило к сбоям приложений на необновленных системах при обработке специально созданных графических изображений в формате PNG. В худшем случае уязвимость CVE-2026-25646 могла быть использована для извлечения информации или выполнения удаленного кода.
Наиболее серьезные последствия уязвимости были возможны только после тщательной подготовки кучи злоумышленником, поэтому ее эксплуатация далеко не тривиальна.
Изображения, способные использовать уязвимость, по-прежнему должны были быть валидными файлами PNG. Уязвимость исправлена в версии libpng 1.6.55.
Libpng — это эталонная библиотека, позволяющая приложениям читать и обрабатывать растровые изображения в формате PNG. Эта технология поставляется со многими операционными системами на базе Linux и Unix, включая Red Hat и Debian.
Уязвимость безопасности присутствует в функции png_set_quantize, которая используется для уменьшения количества цветов в изображениях PNG, и присутствует во всех версиях libpng до версии 1.6.55.
«Когда функция вызывается без гистограммы, а количество цветов в палитре более чем в два раза превышает максимум, поддерживаемый дисплеем пользователя, определенные палитры приводят к тому, что функция входит в бесконечный цикл, считывая данные за пределами внутреннего буфера, выделенного в куче», — объясняется в консультативном уведомлении об уязвимости.
Исследователи в области безопасности выпустили proof of concept для уязвимости, чтобы продемонстрировать свою обеспокоенность.
Уровни угрозы
Уязвимость не следует игнорировать, но она, безусловно, не является поводом для паники, по мнению экспертов по безопасности.
«Хотя это правда, что эта ошибка существовала в библиотеке libpng три десятилетия, это не угроза уровня конца света», — сказал Сатнам Наранг, старший инженер-исследователь в Tenable, компании, стоящей за сканером оценки уязвимостей Nessus.
Уязвимая функция png_set_quantize, ранее называвшаяся png_set_dither, используется редко, и эксплуатация уязвимости затруднена.
Эти факторы снижают реальную серьезность этой уязвимости, несмотря на «высокий» рейтинг серьезности и показатель CVSS 8.3, по словам Наранга.
«Хотя по-прежнему важно устранять такие уязвимости в рамках обычного процесса управления исправлениями, им не следует отдавать приоритет над уязвимостями в периферийных сетевых устройствах, на которые нацелены государственные акторы и участники программ-вымогателей», — посоветовал Наранг.
Угроза поиска ошибок с помощью ИИ
Обнаружение уязвимости подчеркивает неприятную правду о том, что в библиотеках программного обеспечения с открытым исходным кодом существует множество остаточных уязвимостей — спящих ошибок, которые более широкое использование инструментов ИИ, вероятно, будет выявлять с большей частотой в будущем.
«В сочетании с быстрым совершенствованием больших языковых моделей, вероятно, мы увидим открытие множества ошибок в ближайшие месяцы, так же как Claude Opus 4.6 от Anthropic смог найти 500 критических уязвимостей нулевого дня», — сказал Наранг изданию CSO. «Некоторые из этих ошибок могут быть использованы злоумышленниками вместо того, чтобы быть раскрытыми в результате координации».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden