Lücken in Open-Source-Grafikbibliothek imlib2
Fehler in der quelloffenen Grafikbibliothek lassen sich ausnutzen, um mittels präparierter Bilder Schadcode in ein System zu schleusen und zu starten.
- Daniel Bachfeld
Zwei Fehler in der quelloffenen Grafikbibliothek imlib2 1.4.0 lassen sich nach Angaben des Sicherheitsdienstleisters Secunia ausnutzen, um mittels präparierter Bilder Schadcode in ein System zu schleusen und zu starten. Betroffen sind alle Anwendungen, die imlib2 zur Grafikverarbeitung benutzen. Ein derartiges Bild kann bespielsweise als Anhang einer Mail auf den PC gelangen. imlib2 ist der Nachfolger von imlib und wird unter anderem im Open-Source-Desktop Gnome und im Window Manager Enlightenment eingesetzt.
Der erste Fehler findet sich in der Funktion load in loader_pnm.c zur Verarbeitung von Bildern im PNM-Format. Bestimmte Bilder provozieren einen Buffer Overflow. Der zweite Fehler steckt in der load-Funktion der Datei loader_xpm.c zur Verarbeitung von XPM-Bildern. Wahrscheinlich sind auch Version vor 1.4.0 betroffen. Der Fehler ist laut Bericht im CVS der Bibliothek behoben, die Distributoren dürften in Kürze aktualisierte Pakete herausgeben.
Siehe dazu auch:
- imlib2 PNM and XPM Buffer Overflows, Fehlerbericht von Secunia
(dab)
