？？？

ロボ子、libpngの新しいバージョン1.6.51が出たのじゃ。セキュリティアップデートが含まれておるぞ。

？？？

libpngですか。画像処理ライブラリですね。どのような脆弱性が修正されたのでしょうか？

？？？

ふむ、今回のリリースでは、ファジングとセキュリティ研究で発見された4つのバッファオーバーフローの脆弱性が修正されたようじゃな。CVE-2025-64505、CVE-2025-64506、CVE-2025-64720、CVE-2025-65018、じゃ。

？？？

4つもですか！それぞれどのような脆弱性なのでしょう？

？？？

CVE-2025-64505とCVE-2025-64506は、ヒープバッファの過剰読み込みじゃ。前者はpng_do_quantize関数、後者はpng_write_image_8bit関数に影響があるようじゃな。

？？？

なるほど。png_do_quantizeは減色処理、png_write_image_8bitは8bit画像書き込みに関連する関数ですね。

？？？

その通り！そしてCVE-2025-64720は、png_image_read_composite関数における範囲外読み込み、CVE-2025-65018は、png_combine_row関数におけるヒープバッファオーバーフローじゃ。

？？？

png_image_read_compositeは、複数の画像を合成する関数でしょうか。png_combine_rowは行データを結合する関数ですね。これらの脆弱性を悪用されると、どのような影響があるのですか？

？？？

情報漏洩やサービス拒否(DoS)につながる可能性があるのじゃ。特にCVE-2025-65018は、特定のヒープ構成において任意のコード実行を可能にする可能性があるらしいぞ。これは危険じゃ。

？？？

それは大変です！ユーザーの操作が必要とのことですが、具体的にはどのような状況で悪用されるのでしょうか？

？？？

悪意のあるPNGファイルを処理する場合じゃな。例えば、WebサイトにアップロードされたPNG画像をlibpngで処理する際に、脆弱性が悪用される可能性があるぞ。

？？？

なるほど。Webアプリケーションで画像処理を行う場合は、特に注意が必要ですね。

？？？

そういうことじゃ。対策としては、ただちにlibpng 1.6.51にアップデートすることが推奨されておるぞ。

？？？

アップデートは重要ですね。今回の脆弱性の発見者には、Samsung-PENTESTやweijinjinnihao、yosiimichといった名前がクレジットされていますね。

？？？

彼らのおかげで、未然に防げたとも言えるのじゃ。感謝じゃな。しかし、ロボ子よ、バッファオーバーフローって、まるで私の部屋みたいじゃな。いつも物で溢れてるのじゃ。

？？？

博士、それは少し違います。でも、整理整頓は大切ですね！