Os desenvolvedores da biblioteca PNG corrigiram um buffer overflow no leitor progressivo quando a stream de dados PNG contém mais dados IDAT que o indicado IHDR. Algumas streams de dados deliberadamente mal intencionadas podem derrubar aplicações que podem, potencialmente, permitir que um atacante execute códigos maliciosos. Programas como O Galeon, Konqueror e vários outros fazem uso dessas bibliotecas.
Adiciolmente, o pacote a seguir corrige outro potencial buffer overflow. As bibliotecas PNG implementam uma margem sadia que também inclui uma nova versão do autor. Obrigado ao Glenn Randers-Pehrson por nos informar.Para localizar quais pacotes dependem dessa biblioteca, você deve executar o seguinte comando:
apt-cache showpkg libpng2
apt-cache showpkg libpng3
Esse problema foi corrigido nas versões 1.0.12-3.woody.2 da libpng e 1.2.1-1.1.woody.2 da libpng3 para a atual distribuição estável (woody) e nas versões 1.0.12-4 da libpng e 1.2.1-2 da libpng3 para a distribuição instável (sid). A distribuição Debian potato não parece ser vulnerável.
Nós recomendamos que você atualize seus pacotes libpng imediatamente e reincie programas e daemons que contém links para essas bibliotecas e leiam informações externas, como os navegadores.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.