Codeschmuggel durch Slideshows in XnView
Im Bildbetrachter und -konverter XnView können präparierte Slideshows einen Pufferüberlauf auslösen, in dessen Folge eingeschleuster Schadcode ausgeführt wird. Ein Update steht schon bereit.
Der Bildbetrachter und -konverter XnView patzt laut einer Sicherheitsmeldung des Sicherheitsdienstleisters Secunia beim Verarbeiten von manipulierten Slideshows. In der Folge können Angreifer mit präparierten Dateien etwa auf Webseiten oder in E-Mails Schadcode einschleusen, wenn arglose Anwender diese Dateien öffnen.
Der Fehler geht auf eine fehlende Längenprüfung des Parameters FontName in den Slideshow-Dateien (.sld) zurück. Ist der Name zu lang, kann ein stackbasierter Pufferüberlauf auftreten. Der Fehler betrifft XnView 1.92 und 1.92.1 und möglicherweise ältere Fassungen. Auf der Homepage steht inzwischen Version 1.93.4 zum Download bereit, die den Fehler nicht mehr enthält. Nutzer der Software sollten umgehend auf diese Version aktualisieren.
Siehe dazu auch:
- XnView Slideshow "FontName" Buffer Overflow Vulnerability, Sicherheitsmeldung von Secunia
- Download der aktuellen XnView-Version
(dmk)
