## 経緯 [[libpng]]に [CVE-2026-33416](https://www.cve.org/CVERecord?id=CVE-2026-33416) と [CVE-2026-33636](https://www.cve.org/CVERecord?id=CVE-2026-33636) の脆弱性が発見された。1.6.56で解消されているので、1.6.55以下を使っているツールはすべて対応版へアップデートする必要がある。 ## 対応 ### [[libpng]]のバージョン確認 ローカルにインストールされた[[libpng]]のバージョン確認。`1.6.55` なのでアウト。 ```console $ brew list --versions libpng libpng 1.6.55 ``` ### 影響パッケージ確認 [[libpng]]を使っているパッケージ確認。 ```console $ brew uses --installed libpng aom chafa freetype harfbuzz jpeg-xl libheif openjpeg poppler cairo fontconfig gdk-pixbuf imagemagick libavif librsvg pango webp ``` 使っている[[libpng]]の確認。 ```console $ ls /opt/homebrew/Cellar/libpng 1.6.55 ``` ```bash for f in $(brew uses --installed libpng); do hit=$(brew linkage --cached "$f" 2>/dev/null | rg '/opt/homebrew/opt/libpng/lib/libpng[0-9.]*\.dylib' -o | head -n 1) if [ -n "$hit" ]; then printf '%s\t%s\n' "$f" "$hit" else printf '%s\t%s\n' "$f" '(direct linkageなし)' fi done ``` ```console aom (direct linkageなし) cairo /opt/homebrew/opt/libpng/lib/libpng16.16.dylib chafa (direct linkageなし) fontconfig (direct linkageなし) freetype /opt/homebrew/opt/libpng/lib/libpng16.16.dylib gdk-pixbuf /opt/homebrew/opt/libpng/lib/libpng16.16.dylib harfbuzz (direct linkageなし) imagemagick /opt/homebrew/opt/libpng/lib/libpng16.16.dylib jpeg-xl /opt/homebrew/opt/libpng/lib/libpng16.16.dylib libavif /opt/homebrew/opt/libpng/lib/libpng16.16.dylib libheif /opt/homebrew/opt/libpng/lib/libpng16.16.dylib librsvg /opt/homebrew/opt/libpng/lib/libpng16.16.dylib openjpeg /opt/homebrew/opt/libpng/lib/libpng16.16.dylib pango (direct linkageなし) poppler /opt/homebrew/opt/libpng/lib/libpng16.16.dylib webp /opt/homebrew/opt/libpng/lib/libpng16.16.dylib ``` ### パッケージバージョンアップ ```console brew update brew upgrade libpng ``` ## 備考 以下も間接的に[[libpng]]を使っていそうだが、調査は難しそうなので `brew upgrade` で毎日最新化する運用に身を委ねることにする。 - [[harfbuzz]] - [[fontconfig]] - [[pango]] - [[chafa]] - [[aom]]