aus VOLKSMUSIK-Lexikon, der freien Wissensdatenbank

Dateiformate - Hochladen von Dateien: Buffer Overflow im PNG Format

Auf Grund folgender Meldung haben wir im Lexikon das Hochladen von Bildern des PNG-Formates vorübergehend deaktiviert; als Bildformate erlaubt sind GIF, JPG/JPEG sowie die Musikformate MP3 und OGG. Von dieser Sicherheitslücke sind offenbar viele Clients (Browser - siehe auch: Wikipedia: Buffer Overflow - Pufferüberlauf (http://de.wikipedia.org/wiki/Buffer_Overflow)) auf Windows, Linux und Mac betroffen. Andererseits bietet das PNG-Format gegenüber GIF einige Vorteile - siehe auch: Wikipedia: PNG (http://de.wikipedia.org/wiki/PNG); wenn das Problem allgemein behoben sein wird, werden wir das Hochladen von PNG-Dateien wieder aktivieren.

Meldung vom: 05.08.2004 11:04

Quelle: heise.de (http://www.heise.de)

Buffer Overflows in libpng

Durch ein Sicherheitsloch in der Bibliothek für das freie Bildformat PNG (libpng) können Angreifer beliebigen Code ausführen. Chris Evans hat während eines Code-Audits in libpng mehrere Buffer Overflows gefunden. Mit speziell manipulierten PNG-Bildern können diese ausgenutzt werden, um entweder das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen. Welcher Angriff genau möglich ist, hängt von dem Programm ab, das libpng implementiert.

Die Mozilla-Entwickler hatten bereits festgestellt, dass Mozilla anfällig ist und stellen aktualisierte Pakete zur Verfügung (Mozilla 1.7.2 und Firefox 0.9.3 (http://firebird-browser.de)), die unter anderem diesen Bug korrigieren. Auch große Linux-Distributionen bieten inzwischen neue libpng-Versionen an. In den aktuellen Versionen libpng 1.2.6rc1 und libpng-1.0.16rc1 sind die Fehler ausgemerzt, sie sind über die Sourceforge-Seiten direkt erhältlich.