6 failles de sécurité dans une librairie PNG
Le format d’images PNG (Portable Network Graphics) qui est en train de s’imposer dans le monde de l’imagerie, en particulier pour les sites Internet, possède une librairie qui souffrirait de 6 failles assez importantes touchant tous les systèmes d’exploitation. Ce n'est pas le format en lui-même qui est touché mais la librairie libPNG incluse dans ce dernier.Internet Explorer, Opera, Mozilla, Netscape, et le client Mail de Mac OS X sont concernés par ces failles qui peuvent engendrer des plantages intempestifs et donnent la possibilité à des personnes malintentionnées d’exécuter des programmes pendant le chargement des images.
Un patch est d’ores et déjà disponible pour corriger cette faille qui touche tout de même un très grand nombre d’internautes.
28
Commentaires
Modules mémoire Corsair 1Go en Cas2
- Technologie EVP d’AMD avec le SP2
- Sharp lance son écran TFT 3D
- Nouveaux Pentium 4 EE
- Lancement du Beta test de Counter-Strike Source
- Téléchargement de musique en ligne : le comparatif
- Premier bilan positif pour le SP2
- Nouveaux radiateurs Thermalright disponibles
- Quelle place pour Linux dans les foyers ?
- Fin du Pentium 4 Extreme Edition 3.2 GHz
Test - Boîtier Polygonal PYPE
- AMD grignote des parts à Intel
- Le SP2 n’aime pas le P2P
- Nvidia Quadro FX 4400 512 Mo
- 14 cartes graphiques passées au crible pour Doom3
- Echange Sagem->Freebox : nouvelles conditions
- Top 10 des améliorations de la sécurité du SP2
- Baisse des prix chez Intel
- Les meilleures configurations août 2004
- OpenGL 2.0 out
Liens commerciaux
Publicité
"Le format d’images PNG (Portable Network Graphics) qui est en train de s’imposer dans le monde de l’imagerie, en particulier pour les sites Internet, souffrirait de 6 failles"
Ben ouais mais c'est complètement faux !
C'est la libPNG qui est concerné. On ne dis pas que le format HTML souffre de failles de sécurité importantes à chaque nouvelle téchnique de spyware pour Internet Explorer, hein...
comment qu'on patche
comment qu'on patche
Tu es utilisateurs windows =S tu attends que chaque logiciels fournisse un patch
Tu es utilisateurs linux => tu upgrade libpng
png+windows sapu alors![[:grut]](http://img.infos-du-net.com/forum/images/perso/grut.gif)
png+windows sapu alors![[:grut]](http://img.infos-du-net.com/forum/images/perso/grut.gif)
Non c'est l'éternel débat des bibliothèque statique vs bibliothèque partagée.
Tu es utilisateurs windows =S tu attends que chaque logiciels fournisse un patch
![[:agug]](http://img.infos-du-net.com/forum/images/perso/agug.gif)
Tu es utilisateurs linux => tu upgrade libpng
Exact
A noter d'ailleurs que de telles failles ont existé dans les autres toolkit de traitement d'image.
De ce point de vue, je n'ai jamais bien compris pour quelle raison Windows n'intégrait pas de service centralisé de gestion des images. Un manque évident.
Pourtant l'idée était déja utilisée dans AmigaOS.
Tu sais c'est difficile de changer une chose que l'on a commencé.
Et il n'y a qu'a voir le simple SP2 : il pose des problèmes pour un bon nombre de programmes.
Et à chaque nouvelle version de windows c'est pareil, alors que les changements ne sont pas si grand.
Et puis MS se prendrais un procès antitrust à chaque nouvelle librairie qu'un concurrent vendais
L'un des bugs corrigés dans la dernière version de Firefox est une de ces failles.
Hé hé, patch installé le Vendredi matin sur FreeBSD.. Quand je vois qu'il y a encore des distributions Linux qui n'ont toujours pas d'update.. :]
Pour Windows, et bien Firefox 0.9.3, Thunderbird 0.7.3 et Mozilla 1.7.2 corrigent pour leur utilisation les failles.
Hé hé, patch installé le Vendredi matin sur FreeBSD.. Quand je vois qu'il y a encore des distributions Linux qui n'ont toujours pas d'update.. :]
Pour Windows, et bien Firefox 0.9.3, Thunderbird 0.7.3 et Mozilla 1.7.2 corrigent pour leur utilisation les failles.
portaudit rulez.
Distrib linux qui n'ont pas d'update ? tu peux citer des noms ?
barf c'est pas parce que pleins de sites relaient l'info avec 1 bonne semaine de délai que les distros ont pas proposés des patchs depuis longtemps
De ce point de vue, je n'ai jamais bien compris pour quelle raison Windows n'intégrait pas de service centralisé de gestion des images. Un manque évident.
Il y en a vaguement un (utilisé par Office et MS Paint entre autres), mais à mon avis les softs préfèrent utiliser le leur, et je les comprends
Sinon au sujet de la faille, c'est en effet pas le format qui est en cause mais juste la libPNG. Un soft fait en Delphi utilisant TPNGImage par exemple n'est pas touché je suppose.
Il y en a vaguement un (utilisé par Office et MS Paint entre autres), mais à mon avis les softs préfèrent utiliser le leur, et je les comprends
Effectivement, j'utilise pas leurs trucs tout pouris. Et comme tu dit, heureusement.
Bon, du coup va falloir que j'aille recompiler moi...
Sinon, dans AmigaOS il y avait un vrai système de gestion des "datatypes" centralisé. Il suffit de rajouter un module dans le système pour rajouter un datatype.
D'ailleurs ce qui est amusant c'est que ce système existe pour les vidéo avec les codecs. Mais il aurait pu être plus pratique et être utilisé aussi pour les types graphiques.
Dans AmigaOS, le principe avait même été étendu aux algos de compression.
Exact. Mais le problème c'est qu'on ignore jusqu'a quel point cette bibliothèque n'est pas derrière la plupart des lecteurs PNG aussi bien sur Linux que sous Windows.
Oui, a condition toutefois que cet objet ne repose pas sur ce lecteur PNG. Mais c'est possible que ça ne soit effectivement pas le cas.
Exact. Mais le problème c'est qu'on ignore jusqu'a quel point cette bibliothèque n'est pas derrière la plupart des lecteurs PNG aussi bien sur Linux que sous Windows.
Oui mais sous linux tu ne fais l'upgrade/patch de libpng qu'une fois, puisque la lib est partagé, non ?
Ce n'est pas le format en lui-même qui est touché mais la librairie libPNG
On ne dit pas librarie mais bibliothèque, ou au pire library qui est le mot anglais (et avec l'accent alors).
On ne dit pas librarie mais bibliothèque, ou au pire library qui est le mot anglais (et avec l'accent alors).
Oui, le nom "librairie" est incorrect. En anglais on dit "library" mais c'est un faux ami car il ne se traduit pas par "librairie" mais par bibliothèque.
Mais bon, c'est vrai que les programmeurs sont souvent peu a cheval sur la façon de parler du moment qu'on se comprends. Et cette erreur est courante alors je pense qu'on peut lui pardonner et remettre son écorchage avec des tessons de bouteille suivie d'une sodo-gravier-limaille de zinc à un autre jour.
Oui, a condition toutefois que cet objet ne repose pas sur ce lecteur PNG. Mais c'est possible que ça ne soit effectivement pas le cas.
Au début je pensais que ça se basait sur libPNG, mais ça semble être du code 100% Delphi & Assembleur. On ne peut pas lier un .lib dans du code Delphi, et comme aucune DLL n'est nécessaire j'imagine que ça n'inclut rien de la libPNG.
failles corriger depuis hier sur Mac OS X
Traduction :
library => bibliothèque, pas librairie !
t'as juste 20h de retard
Au début je pensais que ça se basait sur libPNG, mais ça semble être du code 100% Delphi & Assembleur. On ne peut pas lier un .lib dans du code Delphi, et comme aucune DLL n'est nécessaire j'imagine que ça n'inclut rien de la libPNG.
Oui, c'est probable qu'ils l'aient réécrit vu que c'est écrit en pascal.
Est-ce que quelqu'un a déjà signalé que library se traduit par "bibliothèque" ?
Est-ce que quelqu'un a déjà signalé que library se traduit par "bibliothèque" ?
Non, il serait bon d'y penser.
Au fait, Library ça se traduit par bibliothèque.
Ah merci. Ca va mieux en le disant !
Est-ce que quelqu'un a déjà signalé que library se traduit par "bibliothèque" ?
3 posts avant le tien
je sais pas si vous êtes au courant, mais "library" se traduit par "bibliothèque"
3 posts avant le tien
casse pas tout le jeu toi
je croyais qu'il était sérieux ; j'avais pas fait gaffe que ce n'était pas que la seconde fois que c'était dit