In vielen Versionen der Programmbibliothek libpng zur Verarbeitung von PNG-Grafiken klafft eine Sicherheitslücke (CVE-2016-10087).
Nach den Entwicklern sind davon die Versionen bis jeweils einschließlich 1.0.66, 1.2.56, 1.4.19, 1.5.27 und 1.6.26 betroffen – die Schwachstelle ist schon seit 1995 im Programmcode bekannt.
Seit dem Jahreswechsel stehen Updates zum Download bereit. Das CERT-Bund stuft das von der Lücke ausgehende Risiko als niedrig ein.
Ein Angriff soll aus der Ferne ohne irgendeine Authentifizierung möglich sein. Damit ein solcher Angriff funktioniert, muss ein Angreifer laut den libpng-Entwicklern ein Programm ausführen, das mehrere Male Text-Stückchen in PNG-Bilder schreibt und löscht. So sollen kriminelle Hacker über den Null-Pointer-Dereference-Bug eine DoS-Attacke starten können.