zurück zum Artikel

Systeme, die Routinen aus Suns Java-Development-Kit zum Verarbeiten von Bildern nutzen, könnten Angreifer mit präparierten Dateien Code unterschieben oder sie zum Absturz bringen.

Wenn Systeme zum serverseitigen Verarbeiten von Bildern Routinen aus Suns Java-Development-Kit nutzen, könnten Angreifer ihnen mit präparierten Dateien Code unterschieben oder sie zum Absturz bringen. Zu den Schwachstellen hat Chris Evans von Googles Security-Team eine Sicherheitsmeldung herausgegeben, in der er auch Dateien verlinkt, die die Lücken demonstrieren.

Manipulierte JPEG-Bilder mit integrierten ICC-Farbprofilen können dem JDK möglicherweise Schadcode unterschieben. Bei der Verarbeitung kann aufgrund einer fehlenden Größenprüfung ein Ganzzahlüberlauf und in dessen Folge ein Pufferüberlauf auftreten. Unter Linux können präparierte BMP-Dateien dazu führen, dass der verarbeitende Thread auf Eingaben von /dev/tty wartet und an dieser Stelle hängen bleibt.

Die Fehler betreffen JDK-Versionen vor den aktuellen Fassungen 1.5.0_11-b03 und 1.6.0_01-b06. Die Versionsnummer des installierten JDK erhält man, indem man an der Eingabeaufforderung java -fullversion aufruft. Bei der Installation einer neueren Version sollte man beachten, dass die ältere nicht automatisch deinstalliert wird. Dies sollten Administratoren gegebenenfalls selbst nachholen.

Siehe dazu auch:

• JDK image parsing library vulnerabilities (ICC parsing, BMP parsing) [1], Sicherheitsmeldung von Chris Evans
• Download [2] der aktuellen JDK-Versionen

(dmk [3])

URL dieses Artikels:
https://www.heise.de/-179024

Links in diesem Artikel:
[1] http://scary.beasts.org/security/CESA-2006-004.html
[2] http://java.sun.com/javase/downloads/index_jdk5.jsp
[3] mailto:dmk@heise.de

Copyright © 2007 Heise Medien