Kritische Lücke in PNG-Referenz-Bibliothek geschlossen

Updates für libpng schließen zwei Lücken. Da zahlreiche Browser libpng zur Anzeige von Bildern benutzen, könnten präparierte Webseiten die PCs von Besuchern mit Schadcode infizieren.

In Pocket speichern vorlesen Druckansicht 67 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Für die offizielle, quelloffene Referenzbibliothek zur Darstellung von Bildern im Format "Portable Network Graphics" (PNG) libpng sind die Updates 1.2.44 und 1.4.3 erschienen, um Sicherheitslücken zu schließen. Laut Bericht der Entwickler finden sich in älteren Version zwei Fehler, wovon sich einer zum Einschleusen und Starten von Code ausnutzen lässt. Offenbar ist es bei libpng möglich, eine weitere Bildzeile zu verarbeiten, auch wenn die angegebene Bildhöhe geringer ist. Damit können Angreifer gezielt Code in den Speicher schreiben.

Da zahlreiche Browser libpng zur Anzeige von Bildern benutzen, könnten präparierte Webseiten die PCs von Besuchern mit Schadcode infizieren. Allerdings schränken die Entwickler in ihrem Bericht ein, dass der Erfolg eines Angriffs davon abhängt, wie die jeweilige Anwendung libpng nutzt. Zwar hat die Mozilla Foundation den Fehler entdeckt, ob aber Firefox konkret betroffen ist, ist derzeit nicht bekannt. Bei dem zweiten Fehler handelt es sich um ein Speicherproblem in Zusammenhang mit fehlerhaften physikalischen Skalierungsangaben (sCAL Chunks), durch die eine Anwendung abstürzen kann.

Auch für die freie Blibliothek libtiff haben die Entwickler ein Update vorgelegt. Version 3.9.4 beseitigt einen Buffer Overflow, der sich durch die Verarbeitung manipulierter SubjectDistance-Tags provozieren lässt. Auch hierüber sollen sich Code einschleusen lassen. Des Weiteren schließt die Version nun mehrere Lücken (Integer Overflows) vollständig, die eigentlich schon in Version 3.9.3 behoben sein sollten. (dab)