Sicherheitslücke in Grafikbibliothek libXpm unter OpenMotif und lesstif

Nach Angaben des Linux-Projekts Gentoo enthält die Grafikbibliothek libXpm der User Interface Toolkits OpenMotif und lesstif mehrere Schwachstellen. lesstif ist ein Clone von OSF/Motif, während OpenMotif der Open-Source-Ableger von OSF/Motif ist. Präparierte Bilder im XPM-Format können in den Funktionen GetImagePixels() und PutImagePixels() Buffer Overflows verursachen, die zum Absturz der Anwendung führen, die eine verwundbare Bibliothek verwenden. Dem Advisory zufolge soll sich so auch Schadcode in ein System einschleusen und ausführen lassen. Dazu reicht das Betrachten eines manipulierten Bildes aus.

Gentoo hat bereits aktualisierte Pakete zur Verfügung gestellt. Auch der Distributor Ubuntu hat für lesstif neue Pakete herausgegeben. Ubuntu hat zudem einen Fehler in libexif10 korrigiert, durch den bestimme Bilder ebenfalls einen Buffer Overflow verursachen können. Digitalkameras legen beispielsweise zusätzliche Metadaten im EXI-Format (Exchangeable Image File Format, EXIF) in einem Bild ab.

Siehe dazu auch: (dab)

• OpenMotif, LessTif: New libXpm buffer overflows von Gentoo
• EXIF library vulnerability von Ubuntu