Png-bestanden kwetsbaar voor buffer overflow
In de code om png-bestanden te verwerken zit een ernstig beveiligingslek. Het probleem dat is geconstateerd in de libpng, de png library, wordt in heel veel software gebruikt.
Het lek werd vrijdag gemeld door Glenn Randers-Pehrson. Dankzij png-bestanden met gemanipuleerde image headers zijn hackers in staat om een buffer overflow te creëren en applicaties te laten crashen. Bij een geslaagde aanval kan een hacker ook kwaadaardige code uitvoeren.
Complicerende factor is dat heel veel programma’s de libpng library gebruiken om png-bestanden te tonen of op te slaan. Daaronder vallen bijvoorbeeld de meeste webbrowsers, Android, imageviewers, mediaspelers en vrijwel alle Office-programma’s.
Updates
Verwacht wordt dat er op heel korte termijn al grootschalig misbruik zal worden gemaakt van het lek. De libpng-versies 1.6.19, 1.5.24, 1.4.17, 1.2.54 en 1.0.64 die afgelopen week zijn uitgebracht, zijn niet meer kwetsbaar. Deze versies zijn te downloaden via libpng.sourceforge.net.
Oei ... badware alert! :(
Dat er nog serieuze projecten gebruik maken van die boevensite ...
Voor het bundelen van crap & malware bij hun downloads.
Info hier:
http://arstechnica.com/information-technology/2015/06/sourceforge-locked-in-projects-of-fleeing-users-cashed-in-on-malvertising/
Inderdaad. Een soortgelijke slordigheid was ook aanwezig in
https://www.security.nl/posting/448367/Lekken+in+Network+Time+Protocol+%28NTP%29+maken+DoS+mogelijk
Daarbij ging het om kwetsbaarheden in een NTP-implementatie, niet in het NTP-protocol zelf. Andere NTP-implementaties (OpenNTPD bijvoorbeeld) waren niet kwetsbaar.
Dat neemt niet weg dat er veel software voor de mac zal zijn waar deze kwetsbare libpng gebruikt is.
Zelf zit ik bij een project waar ook een oudere libpng mee gecompileerd wordt. Zowel voor de mac, windows en linux versie van het programma. En dat programma kan externe png files inlezen.
Dat neemt niet weg dat er veel software voor de mac zal zijn waar deze kwetsbare libpng gebruikt is.
Zelf zit ik bij een project waar ook een oudere libpng mee gecompileerd wordt. Zowel voor de mac, windows en linux versie van het programma. En dat programma kan externe png files inlezen.
Welk programma is dat dan?
Vergeet de pns stereo-png extensie vooral ook niet te blokkeren.
;)
(kzie alleen de captsja niemeer! Wordt er wel rustiger van op deze site ;)
Echt triest wat er met die site is gebeurd.
Ontopic, zijn er al patches beschikbaar voor de populaire besturingssystemen? Biedt EMET bescherming?
Beste security.nl, het soort nieuws dat je hier brengt is erbij gebaat dat je je feiten goed hebt. Dit soort slordigheden verbetert je website niet, het haalt hem omlaag.
Echt triest wat er met die site is gebeurd.
Dat is niet het grootste probleem. SourceForge verandert de binaries van bestanden zodat er extra (ongewenste) software wordt meegeleverd. Google maar eens op SourceForge controversy.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
