Kritische Lücken in Grafik-Toolkit GTK+
Ein Angreifer kann über manipulierte Bilder im XPM-Format Schadcode einschleusen und ausführen.
Drei Schwachstellen in GTK+, dem freien GIMP-Toolkit zur Programmierung grafischer Oberflächen, gefährden die Sicherheit von PCs. Ein Angreifer kann über manipulierte Bilder im XPM-Format Schadcode einschleusen und mit den Rechten des Anwenders ausführen oder die Applikation zum Absturz bringen. Dazu reicht bereits das Öffnen eines Bildes mit einem Programm, das GTK+ verwendet.
Die Fehler finden sich allesamt in der Bibliothek gdk-pixbuf im Modul io-xpm.c zur Verarbeitung von Bildern im XPM-Format und beruhen auf Integer und Heap Overflows. Unter anderem genügt, es die width-, height- und colors-Parameter in einem Bild zu manipulieren, um die Fehler zu provozieren.
Der Linux-Distributor Red Hat gibt bereits neue Pakete für GTK2 und gdk-pixbuf heraus, in denen die kritischen Fehler ausgebügelt sind. Auch für Fedora stehen aktualisierte Bibliotheken bereit. Die anderen Distributoren dürften in Kürze folgen.
Siehe dazu auch: (dab)
- gdk-pixbuf security update, Meldung von Red Hat
- gtk2 security update, Meldung von Red Hat
- Multiple Vendor GTK+ gdk-pixbuf XPM Loader Heap Overflow Vulnerability, Fehlerreport von iDefense
