Photoshop und Paint Shop Pro patzen bei PNG [2. Update]
Durch einen Programmierfehler kann schon beim Öffnen spezieller PNG-Dateien in Photoshop oder Paint Shop Pro das System beispielsweise mit Spyware infiziert werden. Gimp und IrfanView weisen Sicherheitslöcher bei seltener genutzten Grafikformaten auf.
Bilder aus externen Quellen sollte man nicht ohne weiteres in Bildbearbeitungsprogramme wie Photoshop oder Paint Shop Pro laden. Nach den Fehlern beim Verarbeiten von Bitmap-Dateien hat der Marsupilami-Fan Marsu nun auch einen Pufferüberlauf auf dem Stack beim Öffnen von PNG-Dateien aufgespürt. Er demonstriert ihn mit einem Programm, das speziell präparierte PNGs erstellt, die beim Öffnen den Taschenrechner calc.exe starten oder eine Shell an Port 4444 binden sollen. Die Shellcodes hat der französische Hacker offenbar dem Metasploit-Projekt entnommen. Somit lässt sich die Demonstration sehr leicht anpassen und mit echten Schadfunktionen versehen. Huba!
Betroffen sind laut den Kommentaren zumindest Photoshop CS2, CS3, Elements 5.0 und Corel Paint Shop Pro 11.20. [Update] Im Open-Source-Pendant Gimp hat Marsu eine vergleichbare Schwachstelle beim Umgang mit RAS-Dateien entdeckt, IrfanView schlampt bei IFF-Dateien.[/Update] Eine Stellungnahme oder gar ein Update der Hersteller liegt noch nicht vor. Anwender sollten grundsätzlich misstrauisch bei jeder Art von Dateianhängen sein, die sie unaufgefordert erhalten, denn ähnliche Fehler finden sich immer wieder. Eine Einführung in die möglichen Gefahren beim Umgang mit E-Mail gibt der c't Emailcheck auf heise Security.
[Update]:
Der Entwickler von IrfanView hat eine fehlerbereinigte Version 4.01 der Plugins herausgegeben.
Siehe dazu auch:
- Photoshop CS2/CS3, Paint Shop Pro 11.20 .PNG File Buffer Overflow Demo-Exploit von Marsu
- Gimp v2.2.14 .RAS File SUNRAS Plugin Buffer Overflow Demo-Exploit von Marsu
- IrfanView <= 4.00 .IFF File Buffer Overflow Demo-Exploit von Marsu
(ju)
