在广泛使用的开源图形库Libpng中出现的最新漏洞严重性可能不高，但它却由来已久。

Libpng是可移植网络图形（PNG）规范的官网参考库，最近在libpng的所有版本中发现了一个漏洞，该漏洞可追溯到1995年首次发布的0.71版本中。该漏洞终于在2016年12月底得到修复。

Libpng独立于平台，它包含在很多Linux发行版中。该漏洞可被用于远程执行拒绝服务攻击，但它需要非常特定的条件，以及用户输入，才能成功攻击这个开源图形库。

“这个漏洞是由开源开发人员Patrick Keshishian发现并修复，它是png_set_text_2()中非常久的NULL pointer dereference漏洞。这个‘NULL dereference’漏洞自1995年6月26日0.71版就已经存在，”Slackware Linux安全团队在安全公告中写道，“为了实现攻击，应用必须加载文本块到PNG结构中，然后删除所有文本，增加另一个文本块到相同的PNG结构，这似乎是不太可能的序列，但确实发生了。”

虽然文本加载和删除的顺序似乎不太可能，这个漏洞不会出现在只能查看PNG图像的应用中–它仅限于PNG编辑应用。此外，libpng项目指出，如果没有交互式用户输入，没有已知的PNG图形编辑器可受到该漏洞威胁。

“从1.6.26、1.5.27、1.4.19、1.2.56和1.0.66的几乎所有libpng版本的png_set_text_2()中都有null-pointer-dereference漏洞，当图像编辑应用增加、删除和重新增加文本块到PNG图像时都可能受到该漏洞影响，”libpng项目在其网站写道，“这个漏洞并不会影响纯视图查看器，也不会影响没有用户输入便可触发的编辑器。”