Grafikbibliotheken in Unix und Linux fehlerhaft
Alle drei Programmbibliotheken enthalten Sicherheitslücken, die sich nutzen lassen, um einen Pufferüberlauf zu erzeugen. Im Anschluss ist es dem Angreifer möglich, einen Zugriff auf das System zu erhalten.
Der Fehler liegt bei der Überprüfung von Eingaben in die Funktion pixbuf_create_from_xpm(). Eine andere Angriffsfläche mit gleichem Ergebnis bietet ein Begrenzungsfehler in den Funktionen xpmParseColors() und xpm_extract_color(). Speziell erzeugte XMP-Dateien sorgen für den Pufferüberlauf.
Weitere Sicherheitslücken bieten ebenfalls Angriffsmöglichkeiten, allerdings ist das Ergebnis vergleichsweise harmlos. Ein Fehler bei der Überprüfung von Eingaben in die Funktion zum Dekodieren von ICO-Bildern kann durch ein präpariertes ICO-Bild einen Integerüberlauf verursachen. Dieser lässt die Anwendung abstürzen.
Eine Variante einer kürzlich in der Bibliothek QT entdeckten Sicherheitslücke existiert bei der Verarbeitung von BMP-Bildern. Mit präparierten BMP-Dateien können Angreifer eine verknüpfte Anwendung in eine unendliche Schleife schicken. Dadurch reagieren die Anwendungen nicht mehr.
Bislang ist nur für die libXpm ein Patch des Herstellers erschienen. Diesen finden Sie hier. Für GTK+ und GdkPixbuff helfen die Updates der einzelnen Linux-Distributoren. Mehr Informationen dazu finden Sie in den Security Reports. Der Service, eine Kooperation von tecCHANNEL und Secunia, ist auch als kostenloser Newsletter erhältlich. (mja)
|
tecCHANNEL Buch-Shop |
|
|---|---|
|
Literatur zum Thema Open Source |
Titelauswahl |
|
Titel von Pearson Education |
|
|
PDF-Titel (50 % billiger als Buch) |