image

Zeer kritiek lek in Zlib treft Linux, BSD en Microsoft

donderdag 7 juli 2005, 15:20 door Redactie, 3 reacties

Er is een zeer kritiek lek in Zlib ontdekt, een veel gebruikte data compressie library, waardoor een aanvaller een Denial of Service kan veroorzaken of een kwetsbaar systeem kan overnemen. Het lek wordt veroorzaakt door een buffer overflow die zich voordoet tijdens het decomprimeren. De input data wordt niet goed gevalideerd, en door het sturen van corrupte data kan er een buffer overflow plaatsvinden. Dit kan misbruikt worden om elke applicatie te laten crashen die de Zlib library gebruikt, en kan mogelijk leiden tot het uitvoeren van willekeurige code met de rechten van de kwetsbare applicatie. Het lek is aanwezig in versie 1.2.2., maar ook oudere versies zouden kwetsbaar zijn.

Zlib wordt door veel third-party programma's en besturingssystemen gebruikt, waaronder Linux en BSD distributies. Ook Microsoft en andere proprietary software ontwikkelaars gebruiken de library, omdat Zlib via een BSD-achtige manier gelicenseerd wordt.

Hoeveel programma's kwetsbaar zijn is nog niet bekend. Maar volgens sommige bronnen gaat het om verschillende packages in Fedora Core 3, AIX, Debian, FreeBSD, Gentoo, SuSE, Red Hat, Ubuntu en vele andere besturingssystemen. Sommige versies van Microsoft's DirectX, FrontPage, Internet Explorer, Office, Visual Studio, Messenger en het Windows InstallShield programma, gebruiken ook Zlib, en zijn daardoor mogelijk kwetsbaar.

Verschillende besturingssystemen hebben inmiddels patches beschikbaar gesteld. (eWeek)

Reacties (3)
07-07-2005, 18:22 door Anoniem
vandaag al ff update geinstalled vanaf redhat network :)
08-07-2005, 00:36 door Anoniem
Zit de fout ook in 1.2.2.2.0 ?
11-07-2005, 11:02 door SirDice
Zou
[url=http://www.security.nl/article/11217/1/Microsoft_patcht_kritieke_lekken_in_Windows_en_Office.html]dit[/url]
de MS patch hiervoor zijn?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.