Dve ozbiljne libpng ranjivosti mogu oboriti procese i otkriti osetljive podatke
Istraživači su objavili dve ozbiljne ranjivosti u libpng biblioteci koje mogu omogućiti rušenje procesa, curenje memorijskih podataka, a u određenim uslovima i izvršavanje proizvoljnog koda. Prva, CVE-2026-33416, pogađa verzije 1.2.1 do 1.6.55 i vezana je za use-after-free problem u obradi transparentnosti i palete. Druga, CVE-2026-33636, pogađa ARM/AArch64 okruženja sa uključenim Neon optimizacijama u verzijama 1.6.36 do 1.6.55 i može dovesti do out-of-bounds čitanja i pisanja, curenja podataka i rušenja procesa.
Problem sa ovakvim bibliotekama je u tome što su ugrađene duboko u veliki broj aplikacija i servisa, pa jedan zlonamerni PNG može pogoditi mnogo širi lanac nego što na prvi pogled deluje. Posebno je nezgodno to što se napad oslanja na naizgled regularne PNG fajlove, što otežava da se rizik prepozna samo površnim pregledom sadržaja.
- Hitno proveriti da li aplikacije i servisi koriste libpng verzije zahvaćene ovim propustima
- Ažurirati na libpng 1.6.56 ili noviju bezbednu granu gde je to moguće
- Posebno proveriti ARM i AArch64 okruženja sa Neon optimizacijama
- Ograničiti obradu neproverenih PNG fajlova u javno izloženim servisima
- Uvrstiti ovu biblioteku u SBOM i redovan proces praćenja zavisnosti