La bibliothèque open source largement utilisée a été corrigée pour se défendre contre une faille de dépassement de tampon de tas présente dans le code depuis sa création.
Les développeurs ont résolu une faille héritée de la bibliothèque open source libpng, largement utilisée, qui existait depuis la sortie du logiciel il y a près de 30 ans.
Le dépassement de tampon de tas dans libpng provoquerait le crash des applications sur les systèmes non corrigés lorsqu’elles seraient présentées avec des images graphiques PNG malveillantes. Dans le pire des cas, la vulnérabilité CVE-2026-25646 pourrait être exploitée pour extraire des informations ou déclencher l’exécution de code à distance.
Les répercussions les plus graves de la faille ne seraient possibles que si l’on procédait à une préparation minutieuse du tas en cas d’attaque potentielle. L’exploitation est donc loin d’être anodine.
Les images capables d’exploiter cette vulnérabilité doivent toujours être des fichiers PNG valides. La vulnérabilité est corrigée dans la version 1.6.55 de libpng.
Libpng est une bibliothèque de référence qui permet aux applications de lire ou de manipuler des fichiers d’images raster PNG. La technologie est fournie avec de nombreux systèmes d’exploitation basés sur Linux et Unix, notamment Red Hat et Debian.
La faille de sécurité existe dans une fonction appelée png_set_quantizequi est utilisé pour réduire le nombre de couleurs dans les images PNG, et présent dans toutes les versions de libpng antérieures à la version 1.6.55.
« Lorsque la fonction est appelée sans histogramme et que le nombre de couleurs dans la palette est plus de deux fois supérieur au maximum pris en charge par l’écran de l’utilisateur, certaines palettes feront entrer la fonction dans une boucle infinie qui lit au-delà de la fin d’un tampon interne alloué au tas », explique un avis sur la faille.
Les chercheurs en sécurité ont publié une preuve de concept de la vulnérabilité pour démontrer leur inquiétude.
Niveaux de menace
La faille ne doit pas être négligée mais ne constitue certainement pas une raison de paniquer, selon les experts en sécurité.
« Bien qu’il soit vrai que ce bug existe dans la bibliothèque libpng depuis trois décennies, il ne s’agit pas d’une menace apocalyptique », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, la société à l’origine du scanner d’évaluation des vulnérabilités Nessus.
Les vulnérables png_set_quantize fonction, précédemment appelée png_set_ditherest rarement utilisé et l’exploitation de la faille est délicate.
Ces facteurs réduisent la véritable gravité de cette faille malgré l’indice de gravité « élevé » et le score CVSS de 8,3, selon Narang.
« Bien qu’il soit toujours important de corriger des failles comme celle-ci dans le cadre du processus normal de gestion des correctifs, cela ne devrait pas être prioritaire par rapport aux vulnérabilités des appareils de réseau périphérique qui sont ciblés par les acteurs de la menace des États-nations et les affiliés de ransomwares », a conseillé Narang.
Menace de chasse aux bugs basée sur l’IA
La découverte de la faille met en évidence la vérité inconfortable selon laquelle il existe de nombreuses vulnérabilités persistantes dans les bibliothèques de logiciels open source – des bogues latents que l’utilisation plus large des outils d’IA est susceptible de découvrir à une plus grande cadence à l’avenir.
