【要点】
◎libpngに重大脆弱性。細工PNGでクラッシュや情報漏洩、環境次第でコード実行の恐れ (gbhackers.)
【訳】
PNGの脆弱性により、攻撃者がシステムのクラッシュを引き起こしたり、機密データを漏洩させたりすることが可能になる
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク)
| ★ |
公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v4 |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 2026/03/26 | 2026/03/19 | CVE-2026-33416 | NVD | pnggroup | - | 7.5(GitHub) |
CWE-416 | 解放済みメモリの使用 | - | libpng | |
| 2026/03/26 | 2026/03/23 | CVE-2026-33636 | NVD | pnggroup | - | 7.6(GitHub) |
CWE-125 CWE-787 |
境界外読み取り 境界外書き込み |
- | libpng |
【要約】
PNG処理ライブラリで広く使われるlibpngに、深刻な脆弱性2件(CVE-2026-33416、CVE-2026-33636)が発見された。細工されたPNG画像を処理するだけで、クラッシュやヒープメモリ漏洩が発生し、特定環境では任意コード実行も可能となる。1件はUse-After-Freeによるメモリ破損、もう1件はARM Neon最適化処理の範囲外アクセスに起因する。影響範囲は広く、多数のアプリケーションに波及する可能性があるため、最新版への更新やNeon無効化などの緊急対策が強く推奨されている。
【ニュース】
◆PNG Vulnerabilities Allow Attackers to Trigger Crashes and Leak Sensitive Data (gbhackers., 2026/03/31)
[PNGの脆弱性により、攻撃者がシステムのクラッシュを引き起こしたり、機密データを漏洩させたりすることが可能になる]
https://gbhackers.com/png-vulnerabilities-leak-sensitive-data/