Palettenüberlauf im Bildbetrachter
Durch einen Pufferüberlauf in Irfanview könnten Angreifer Code einschleusen und ausführen. Erst die aktuelle Version beseitigt den zugrundeliegenden Fehler.
Stefan Cornelius von Secunia Research hat einen Fehler im populären Freeware-Bildbetrachter Irfanview entdeckt, der einen Pufferüberlauf auslösen konnte. Durch spezielle Dateien mit Farbpaletten (.pal) könnte ein Angreifer dann beliebigen Code einschleusen und ausführen lassen.
Betroffen sind die Versionen 3.99 und 4.0. Nach der Benachrichtigung durch den Sicherheitsdienstleister hat der Hersteller das Problem in Version 4.10 behoben, die darüber hinaus noch weitere Bug-Fixes und Erweiterungen enthält. Auf den Download-Seiten der deutschen Version steht allerdings bislang nur die verwundbare Version 4.0 zur Verfügung. Man kann allerdings getrost die internationale Versione herunterladen und dann über "Options/Change language" die Sprache passend ändern.
Siehe dazu auch:
- IrfanView Palette File Importing Buffer Overflow Vulnerability Sicherheitsnotiz von Secunia
(ju)
