Pesquisadores desenterram vulnerabilidade de 30 anos na biblioteca libpng

Uma falha de heap buffer overflow (CVE-2026-25646, CVSS 8.3) na biblioteca libpng, presente desde sua criação há quase 30 anos, foi corrigida na versão 1.6.55. A vulnerabilidade reside na função png_set_quantize, usada para reduzir cores em imagens PNG. A exploração exige heap grooming cuidadoso e arquivos PNG especialmente elaborados, porém válidos, podendo levar a crashes, vazamento de informações ou execução remota de código em sistemas não corrigidos que utilizam essa biblioteca amplamente empacotada em ambientes Linux/Unix.

Embora a função vulnerável seja raramente utilizada, o que reduz a severidade prática, especialistas em segurança alertam que ferramentas de caça a bugs com IA estão acelerando a descoberta de vulnerabilidades dormentes similares em bibliotecas de código aberto. Isso aumenta o risco de exploração por agentes de ameaça antes da divulgação coordenada. ️