Kritische Sicherheitslücke in DevIL gemeldet

Über eine Schwachstelle in DevIL können Angreifer per RGBE-Dateien beliebigen Schadcode einspeisen. Die kritische Lücke wurde im SVN-Repository bereits behoben.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 1.7.4 von DevIL auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke ist auf einen Begrenzungsfehler in der Funktion „iGetHdrHeader()“ (Datei: „il_hdr.c“) zurückzuführen. Über manipulierte RGBE-Dateien können Angreifer einen Stack-basierten Pufferüberlauf auslösen, mit dessen Hilfe sich beliebiger Schadcode in ein betroffenes System einspeisen lässt. Die Schwachstelle wurde im Subversion Repository von DevIL bereits behoben. (twi)