„Sicherheitslücke im PNG-Bildformat“ - Klaut Microsoft Code?

 


 

Lustig ist, was man bei pressetext.at liest:

Der unabhängige Sicherheitsexperte Chris Evans hat im Bildformat Portable Network Graphics (PNG) sechs Schwachstellen gefunden. Eindringlinge können mit Hilfe des Open Source-Formats Computer, die auf Linux oder Windows basieren, beeinträchtigen. Auch die Sicherheit von Apple Computern mit OS X ist durch das PNG-Format gefährdet, berichtete heute, Freitag der Branchendienst CNet http://www.news.com.

Die beunruhigendste Sicherheitslücke entsteht durch einen Buffer Overflow. Durch das Speicherproblem können spezielle PNG-Graphiken ein schädliches Programm ausführen, sobald sie geladen werden. „Eine erschreckende Möglichkeit ist die gezielte Ausnützung durch das Verschicken bösartiger PNGs per Mail”, meinte Evans.

Der Besuch einer Homepage oder eine E-Mail, die mit dem PNG-Programm verlinkt ist, könne sehr leicht zu Sicherheitsproblemen führen, meinte der Sicherheitsinformationsservice Secunia http://www.secunia.com . Secunia beurteilte die Sicherheitslücken als höchst kritisch und mahnte Computernutzer zu Vorsicht.
Lustig ist dabei, dass sowohl CNet, als auch Secunia völlig korrekt von einem Problem im der libpng - also der Programmbibliothek, die PNG-Dateien verarbeitet - sprechen, dies aber bei pressetext.at anscheinend nicht verstanden oder einfach ignoriert wurde.

Und was ist bitte ein PNG-Program??? Liebe pressetext.at Redaktion, lest doch mal bei Wikipedia nach:
Portable Network Graphics (Akronym PNG, sprich: ping) ist ein Dateiformat zur Speicherung von Bilddaten. Es wurde als freier Ersatz für das ältere proprietäre Format GIF entworfen und ist weniger komplex als TIFF. Die Daten werden verlustfrei komprimiert abgespeichert (im Gegensatz zum verlustbehafteten JPEG-Dateiformat).
Aber auch testticker.de (Das Portal von PC Professionell, Internet Professionell und PC Direkt) kann es recht gut:
Sicherheitslücke im PNG-Bildformat
Das Format PNG - gerne als Alternative zu JPG und GIF verwendet - offenbart eine Reihe von ernsten Sicherheitslücken.
06.08.2004 - Über einen Buffer Overflow Angriff kann schädlicher Code in einen Recher eingeschleust werden. Das Problem betrifft diesmal nicht nur Microsoft-Produkte, sondern darüber hinaus auch alle Browser wie Mozilla, Opera, Safari sowie Email-Programme auch auf Linux, Solaris und MacOS X. Security-Experte Chris Evans entdeckte das PNG-Sicherheitsproblem und testete zahlreiche Anwendungen unter verschiedensten Betriebssystemen.
Ein Angriff kann zum Beispiel durch eine E-Mail erfolgen, die ein entsprechend präpariertes PNG-Bild enthält.
Soviel zum „professionell“ im Titel der Magazine. >[

Laut den Meldungen von CNet und Secunia ist aber auch der Internet Explorer von diesen Problemen betroffen. Kann es sein, dass der Konzern aus Redmond da etwa Code geklaut hat? Seltsamerweise geht keine Meldung zu dem Thema auf diesen Aspekt ein.
Schaut man sich die Lizenz der libpng an, so findet sich darin folgender Absatz:
Permission is hereby granted to use, copy, modify, and distribute this
source code, or portions hereof, for any purpose, without fee, subject
to the following restrictions:

1. The origin of this source code must not be misrepresented.

2. Altered versions must be plainly marked as such and must not
be misrepresented as being the original source.

3. This Copyright notice may not be removed or altered from any
source or altered source distribution.

The Contributing Authors and Group 42, Inc. specifically permit, without
fee, and encourage the use of this source code as a component to
supporting the PNG file format in commercial products. If you use this
source code in a product, acknowledgment is not required but would be
appreciated.
Microsoft? Hmm? Ich denke, ein Eintrag im „About“ des IE wäre angebracht, oder?

CNet: Image flaw pierces PC security
Secunia: libpng Multiple Vulnerabilities
libPNG 1.2.5 stack-based buffer overflow and other code concerns
US-CERT National Cyber Alert System: TA04-217A-Multiple Vulnerabilities in libpng


Die Meldung finden Sie im Original unter http://www.cargal.org/drupal/node.php?id=436

Tagged as: | Author:
[Montag, 20040809, 21:07 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, IT, it, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, LotusNotes, lotusnotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, Vim, vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, Web20, web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist