Update Firefox dan Thunderbird Karena Vulnerabilitas di libpng

 •  1   • 171 

Proyek Mozilla telah merilis update untuk Firefox dan Thunderbird. Menurut catatan rilis yang ada, update versi 10.0.2 untuk peramban web dan klien email serta berita open source ini bertujuan untuk menangani vulnerabilitas keamanan.

Sala satu forum diskusi menyarankan bahwa salah satu vulnerabilitas ini juga merupakan alasan update “chenspill” Firefox dan Thunderbird. Salah satu entry forum mengarahkan pada overflow integer di libpng, pustaka referensi resmi PNG. Firefox nomer bug 727401 saat ini masih terbatas dan tidak dapat dibaca secara publik dari sistem Bugzilla.

Bug ini mirip dengan bug yang membuat Google membayar Jüri Aedla $1,337 karena menemukannya, yang berfokus pada pemekaran file PNG. Menurut komentar di kode Chromium, bug ini dapat menyebabkan overflow atau pemotongan integer.

Belum diketahui apakah vulnerability ini dieksploitasi secara aktiv diluar dan apa risiko yang sebenarnya ada. Seluruh versi libpng sejak 1.2.8 sepertinya terkena dampak. Menurut sebuah saran dari Secunia, eksploitasi celah ini dapat menyebabkan eksekusi kode tertentu pada sistem korban ketika melihat gambar PNG yang dibuat secara khusus dari peramban web yang memiliki celah ini.

Via :