image

Png-bestanden kwetsbaar voor buffer overflow

maandag 16 november 2015, 15:27 door Redactie, 14 reacties

In de code om png-bestanden te verwerken zit een ernstig beveiligingslek. Het probleem dat is geconstateerd in de libpng, de png library, wordt in heel veel software gebruikt.

Het lek werd vrijdag gemeld door Glenn Randers-Pehrson. Dankzij png-bestanden met gemanipuleerde image headers zijn hackers in staat om een buffer overflow te creëren en applicaties te laten crashen. Bij een geslaagde aanval kan een hacker ook kwaadaardige code uitvoeren.

Complicerende factor is dat heel veel programma’s de libpng library gebruiken om png-bestanden te tonen of op te slaan. Daaronder vallen bijvoorbeeld de meeste webbrowsers, Android, imageviewers, mediaspelers en vrijwel alle Office-programma’s.

Updates

Verwacht wordt dat er op heel korte termijn al grootschalig misbruik zal worden gemaakt van het lek. De libpng-versies 1.6.19, 1.5.24, 1.4.17, 1.2.54 en 1.0.64 die afgelopen week zijn uitgebracht, zijn niet meer kwetsbaar. Deze versies zijn te downloaden via libpng.sourceforge.net.

Reacties (14)
16-11-2015, 15:37 door [Account Verwijderd] - Bijgewerkt: 16-11-2015, 15:47
[Verwijderd]
16-11-2015, 16:04 door meinonA
Deze versies zijn te downloaden via libpng.sourceforge.net.

Oei ... badware alert! :(

Dat er nog serieuze projecten gebruik maken van die boevensite ...
16-11-2015, 16:23 door Anoniem
@ meinonA : Hoezo is sourceforge een boevensite ?
16-11-2015, 17:08 door Anoniem
Door Anoniem: @ meinonA : Hoezo is sourceforge een boevensite ?

Voor het bundelen van crap & malware bij hun downloads.

Info hier:
http://arstechnica.com/information-technology/2015/06/sourceforge-locked-in-projects-of-fleeing-users-cashed-in-on-malvertising/
16-11-2015, 17:13 door Anoniem
De titel is verkeerd, de library is niet gelijk aan het bestandstype. Wel goed is: "libpng kwetsbaar voor buffer overflow"
16-11-2015, 18:10 door Anoniem
Door Anoniem: De titel is verkeerd, de library is niet gelijk aan het bestandstype. Wel goed is: "libpng kwetsbaar voor buffer overflow"

Inderdaad. Een soortgelijke slordigheid was ook aanwezig in

https://www.security.nl/posting/448367/Lekken+in+Network+Time+Protocol+%28NTP%29+maken+DoS+mogelijk

Daarbij ging het om kwetsbaarheden in een NTP-implementatie, niet in het NTP-protocol zelf. Andere NTP-implementaties (OpenNTPD bijvoorbeeld) waren niet kwetsbaar.
16-11-2015, 18:24 door Briolet
Door MAC-user: Ook Apple programmeurs zouden de kwetsbare libpng niet gebruikt hebben.

Dat neemt niet weg dat er veel software voor de mac zal zijn waar deze kwetsbare libpng gebruikt is.

Zelf zit ik bij een project waar ook een oudere libpng mee gecompileerd wordt. Zowel voor de mac, windows en linux versie van het programma. En dat programma kan externe png files inlezen.
16-11-2015, 18:32 door Anoniem
Door Briolet:
Door MAC-user: Ook Apple programmeurs zouden de kwetsbare libpng niet gebruikt hebben.

Dat neemt niet weg dat er veel software voor de mac zal zijn waar deze kwetsbare libpng gebruikt is.

Zelf zit ik bij een project waar ook een oudere libpng mee gecompileerd wordt. Zowel voor de mac, windows en linux versie van het programma. En dat programma kan externe png files inlezen.

Welk programma is dat dan?
16-11-2015, 20:27 door Anoniem
Het wordt er wel rustiger van, sites zonder png images.
Vergeet de pns stereo-png extensie vooral ook niet te blokkeren.
;)

(kzie alleen de captsja niemeer! Wordt er wel rustiger van op deze site ;)
16-11-2015, 20:43 door Anoniem
Door Anoniem: De titel is verkeerd, de library is niet gelijk aan het bestandstype. Wel goed is: "libpng kwetsbaar voor buffer overflow"
Helemaal mee eens. De titel is incorrect en wat mij betreft ook sensatiegericht. PNG-bestanden zijn niet kwetbaar maar applicaties die de libpng bibliotheek gebruiken kunnen kwetsbaar zijn.
17-11-2015, 08:49 door Anoniem
Door Anoniem: @ meinonA : Hoezo is sourceforge een boevensite ?
SourceForge zit tegenwoordig helemaal volgeprompt met adware, rogueware en spyware. Maar als je een adblocker aan hebt staan, merk je daar niets van. Zet je adblocker maar eens uit als je die gebruikt.

Echt triest wat er met die site is gebeurd.

Ontopic, zijn er al patches beschikbaar voor de populaire besturingssystemen? Biedt EMET bescherming?
17-11-2015, 10:48 door Anoniem
Door Anoniem: De titel is verkeerd, de library is niet gelijk aan het bestandstype. Wel goed is: "libpng kwetsbaar voor buffer overflow"
Het artikel zelf maakt die fout niet, maar de kop wel, en dat lijkt op deze site steeds vaker te gebeuren. Is er misschien een overijverige redacteur bezig om koppen op te leuken die de kennis niet heeft om te beoordelen of ze nog wel waar zijn, of die daar niet zwaar aan tilt?

Beste security.nl, het soort nieuws dat je hier brengt is erbij gebaat dat je je feiten goed hebt. Dit soort slordigheden verbetert je website niet, het haalt hem omlaag.
17-11-2015, 15:28 door Anoniem
Door Anoniem:
Door Anoniem: @ meinonA : Hoezo is sourceforge een boevensite ?
SourceForge zit tegenwoordig helemaal volgeprompt met adware, rogueware en spyware. Maar als je een adblocker aan hebt staan, merk je daar niets van. Zet je adblocker maar eens uit als je die gebruikt.

Echt triest wat er met die site is gebeurd.


Dat is niet het grootste probleem. SourceForge verandert de binaries van bestanden zodat er extra (ongewenste) software wordt meegeleverd. Google maar eens op SourceForge controversy.
18-11-2015, 09:25 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.