Computerbeveiliging - Hoe je bad guys buiten de deur houdt

IrfanView plugin "FlashPix" lek

16-04-2012, 23:23 door Bitwiper, 7 reacties
Secunia meldt een exploitable buffer overflow in de IrfanView FlashPix PlugIn: http://secunia.com/advisories/48772/.
Bron: http://www.heise.de/security/meldung/Kritische-Luecke-in-IrfanView-Plugin-1526511.html.

FlashPix heeft niets met Adobe Flash te maken, maar is een viewer plugin voor FlashPix plaatjes met extensie fpx.
De ontdekker van de kwetsbaarheid heeft een exploit gepubliceerd: http://www.exploit-db.com/exploits/18739/.

Een update naar versie 4.34 van de FlashPix plugin vind je op circa 1/3 van http://www.irfanview.net/plugins.htm (onder de rode tekst "PlugIns updated after the version 4.33").

De zip file die ik eerder vanavond gedownload heb (http://www.irfanview.net/plugins/fpx.zip) heeft als sha1sum: baa24cd8ade6b51204193f7713b0c1877f312ef1.
Reacties (7)
17-04-2012, 10:48 door Fwiffo
Je kan je zo-wie-zo gaan afvragen hoe veilig zulke programma's zijn die vele formaten ondersteunen. Er hoeft er maar eentje lek te zijn, of niet meer onderhouden, en een aanvaller is binnen.

Ik heb vroeger IrfanView veel gebruikt omdat het beter is als de viewer in Windows Vista/7. Maar na de laatste herinstall van Windows heb ik hem niet meer terug gezet. Ik download nog wel steeds de laatste versie (en let daarbij op de sha256 hashes van de officiële site omdat de meeste download locaties hun eigen toolbars en troep toevoegen tegenwoordig).

Een OS met een kleine aanvalsoppervlakte is een veilig OS.
17-04-2012, 11:05 door Bitwiper
Door Fwiffo: Een OS met een kleine aanvalsoppervlakte is een veilig OS.
Ik ben het met je eens!

Ik heb ooit één van die plugins nodig gehad (ik weet niet eens meer welke) en heb ze toen allemaal geïnstalleerd. Ik ga ze binnenkort naar een submapje verplaatsen behalve degene die ik echt nodig heb. Zodra ik een zo uitgeschakelde plugin nodig heb, log ik in als admin en zet hem weer terug. On demand, zeg maar...
21-04-2012, 15:08 door Anoniem
Bedankt voor de waarschuwing! Ik heb de update geïnstalleerd.
SHA-256 voor de installer: 9fc69329a46d6c5febda66ee54f1a55062a10431b9b3a3f3d48652657a932151
21-04-2012, 15:13 door Anoniem
De xcf plugin is ondertussen ook geüpdatet. (SHA-256: 22bcba32238ede2b698f486678f9a2b55ef874f6f0a59b6e26dde3abd867d554, download: http://www.irfanview.net/plugins/irfanview_plugin_xcf.exe)
22-04-2012, 17:05 door Bitwiper
Door Anoniem: De xcf plugin is ondertussen ook geüpdatet. (SHA-256: 22bcba32238ede2b698f486678f9a2b55ef874f6f0a59b6e26dde3abd867d554, download: http://www.irfanview.net/plugins/irfanview_plugin_xcf.exe)
Dank voor het melden! Ik zie (met sha256deep.exe) dezelfde sha256 checksum, maar omdat sha256 nog wat minder gangbaar is: de sha1sum van irfanview_plugin_xcf.exe is 0d025b15f44c6ea77480005ff6a38d58a9446ce0.

Zelf pak ik liever gewoon de zipfile uit; de sha256 sum van xcf.zip is 670932499e8923e01094c1fd2ead375102984b708ca17b54ee531fa07dada00b, de sha1sum daarvan is bb9c47ab38732f8c58f4bc1300176a65258fd6ef.
22-04-2012, 20:14 door [Account Verwijderd]
[Verwijderd]
22-04-2012, 20:44 door Bitwiper
Door Peter V: Ik installeer sowieso niet zoveel plugins.

Hoe meer je installeert, hoe hoger de kans dat je met een kwetsbaarheid te maken krijgt.
Om misverstanden te voorkomen, het gaat hier niet om webbrowser plugins. Het is niet zo dat je PC geïnfecteerd kan raken door het bezoeken van een foute website terwijl je een kwetsbare IrfanView plugin geïnstalleerd hebt.

Je bent kwetsbaar als je met IrfanView een bewust gemanipuleerd bestand opent dat op je lokale schijf of een netwerkschijf staat, en dat bestand middels zo'n kwetsbare pluging getoond wordt. Je moet hierbij vooral denken aan targeted attacks.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.