TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

PNG Vulnerabilities Allow Attackers to Trigger Crashes and Leak Sensitive Data

【要点】

◎libpngに重大脆弱性。細工PNGでクラッシュや情報漏洩、環境次第でコード実行の恐れ (gbhackers.)


【訳】

PNGの脆弱性により、攻撃者がシステムのクラッシュを引き起こしたり、機密データを漏洩させたりすることが可能になる



【脆弱性内容】  (★: 本ブログ内の詳細記事リンク)

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v4
CVSS v3
CWE
脆弱性
KEV
備考
2026/03/26 2026/03/19 CVE-2026-33416 NVD pnggroup -
7.5(GitHub)
CWE-416 解放済みメモリの使用 - libpng
2026/03/26 2026/03/23 CVE-2026-33636 NVD pnggroup -
7.6(GitHub)
CWE-125
CWE-787
境界外読み取り
境界外書き込み
- libpng


【要約】

PNG処理ライブラリで広く使われるlibpngに、深刻な脆弱性2件(CVE-2026-33416、CVE-2026-33636)が発見された。細工されたPNG画像を処理するだけで、クラッシュやヒープメモリ漏洩が発生し、特定環境では任意コード実行も可能となる。1件はUse-After-Freeによるメモリ破損、もう1件はARM Neon最適化処理の範囲外アクセスに起因する。影響範囲は広く、多数のアプリケーションに波及する可能性があるため、最新版への更新やNeon無効化などの緊急対策が強く推奨されている。


【ニュース】

◆PNG Vulnerabilities Allow Attackers to Trigger Crashes and Leak Sensitive Data (gbhackers., 2026/03/31)
[PNGの脆弱性により、攻撃者がシステムのクラッシュを引き起こしたり、機密データを漏洩させたりすることが可能になる]
https://gbhackers.com/png-vulnerabilities-leak-sensitive-data/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022