Accueil » Actualité » Les images deviennent une menace avec le format PNG

Les images deviennent une menace avec le format PNG

Six vulnérabilités découvertes dans un format d’image open source permettraient à des personnes malintentionnées de compromettre les ordinateurs sous Linux, Windows et Macs sous OS X. La faille de sécurité est apparue dans une librairie suportant le format portable network graphics (PNG), utilisé par toute sorte de programmes tels que Opera et Mozilla, et de nombreux clients emails.

La faille la plus critique, un buffer overflow, permettrait à des fichiers PNG d’exécuter des programmes malveillants lorsque l’application charge l’image.

Parmis les programmes utilisant libPNG, et qui sont affectés par la faille, il y a l’application Mail de Mac OS X, les navigateurs internet Opera et Internet Explorer sous Windows, et les navigateurs Mozilla et Netscape sous Solaris, selon Chris Evans, qui a découvert ces failles. Evans n’a pas encore pu tester toutes les plateformes pour voir toutes celles touchées.

La vulnérabilité la plus dangereuse fait planter deux navigateurs open source, selon Evans. Une possibilité plus effrayante, que celle du PNG malveillant résidant sur un site Internet, serait l’exploitation ciblée de ces failles par l’envoi d’un PNG par email à une personne utilisant un client email graphique.

Microsoft et Linux ont déjà eu des problèmes de sécurité avec le format PNG. Il y a un peu plus d’un an, Microsoft avait connu une vulnérabilité critique présente dans la manière dont Internet Explorer exploitait les images PNG. Il y a plus de deux ans, une vulnérabilité de compression de format sous Linux permettait aux images PNG, mais aussi à d’autres types de données, de mettre à mal des programmes tournant sur la machine.

Une version patchée de la librairie PNG, libPNG, peut être téléchargée depuis le site Internet PNG.

Source : ECHU.ORG