BUGTRAQ ID: 32248
CVE(CAN) ID: CVE-2008-5101
OptiPNG是PNG优化程序,可无损的将图形文件重新压缩到更小的尺寸。
OptiPNG的BMP阅读器在处理畸形BMP文件时存在缓冲区溢出漏洞。如果用户打开了带有畸形头的图形文件的话,就可以触发这个溢出,导致执行任意代码。
Gentoo已经为此发布了一个安全公告(GLSA-200812-01)以及相应补丁:
GLSA-200812-01:OptiPNG: User-assisted execution of arbitrary code
链接:<a href=“http://security.gentoo.org/glsa/glsa-200812-01.xml” target=“_blank”>http://security.gentoo.org/glsa/glsa-200812-01.xml</a>
所有OptiPNG用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-gfx/optipng-0.6.2"
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://downloads.sourceforge.net/optipng/optipng-0.6.2.tar.gz” target=“_blank”>http://downloads.sourceforge.net/optipng/optipng-0.6.2.tar.gz</a>