Codeeinspeisung über PNG-Dateien möglich
Angriff gegen Jasc Paint Shop Pro gemeldet
Laut einer Meldung der Sicherheitsexperten von Secunia wurde die Schwachstelle in der aktuellen Version 8.10 von Jasc Paint Shop Pro nachgewiesen. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch einen Begrenzungsfehler bei der Verarbeitung von Dateien im „Portal Network Graphics“ (PNG) Format. Durch die gezielte Manipulation des „pHYs Chunk“ einer solchen Datei können die Angreifer einen Stack-basierten Pufferüberlauf auslösen und mit dessen Hilfe beliebigen Schadcode in ein betroffenes System einspeisen. Es genügt, eine entsprechend präparierte Datei mit Jasc Paint Shop Pro zu öffnen. Da bislang kein Patch zu Verfügung steht, wird empfohlen, keine PNG-Dateien aus unbekannten Quellen mit der Anwendung zu öffnen. (vgw)