Png-bestanden kwetsbaar voor buffer overflow

[Captain Kirk]

In de code om png-bestanden te verwerken zit een ernstig beveiligingslek. Het probleem dat is geconstateerd in de libpng, de png library, wordt in heel veel software gebruikt.

Het lek werd vrijdag gemeld door Glenn Randers-Pehrson. Dankzij png-bestanden met gemanipuleerde image headers zijn hackers in staat om een buffer overflow te creëren en applicaties te laten crashen. Bij een geslaagde aanval kan een hacker ook kwaadaardige code uitvoeren.

Complicerende factor is dat heel veel programma’s de libpng library gebruiken om png-bestanden te tonen of op te slaan. Daaronder vallen bijvoorbeeld de meeste webbrowsers, Android, imageviewers, mediaspelers en vrijwel alle Office-programma’s.

Updates

Verwacht wordt dat er op heel korte termijn al grootschalig misbruik zal worden gemaakt van het lek. De libpng-versies 1.6.19, 1.5.24, 1.4.17, 1.2.54 en 1.0.64 die afgelopen week zijn uitgebracht, zijn niet meer kwetsbaar. Deze versies zijn te downloaden via libpng.sourceforge.net.

 

bron: security.nl