Schwachstellen in Google Picasa geschlossen

Angreifer können mit präparierten JPG-Bildern eigenen Code in einen Windows-Rechner schleusen und starten.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Der Sicherheitsdienstleister Secunia berichtet von einer Lücke in Googles Bildverwaltungs- und Bearbeitungssoftware Picasa, durch die Angreifer einen Windows-Recher kompromittieren können. Laut Bericht soll sich in der Datei PicasaPhotoViewer.exe mit präparierten JPG-Bilder ein Integer Overflow provozieren lassen, was im Weiteren gezielt zu einem Heap Overflow führen kann. Darüber kann der Angreifer wiederum eigenen Code einschleusen und mit den Rechten des Anwenders ausführen. Das hat bislang aber offenbar noch niemand vollständig in der Praxis getestet; einen Exploit gibt es dafür nicht.

Betroffen ist PicasaPhotoViewer 3.6.95.25, wie er im Lieferumfang von Google Picasa 3.6 build 95.25 enthalten ist. Frühere Versionen sind vermutlich ebenfalls betroffen. Google hat die Lücke laut Bericht in der kürzlich veröffentlichten Version Picasa 3.6 build 105.41 geschlossen. In den Release Notes von Google ist dazu allerdings nichts zu finden. Als einzige Änderung führt Google darin nur auf, dass die neue Picasa-Version nun 38 Sprachen unterstützt.

Siehe dazu auch:

(dab)