[Generic/Netscape, Mozilla] Fehler in der Verarbeitung von GIF-Bildern
(2002-09-07 09:29:54.505373+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/09/msg00049.html
Ein Fehler bei der Verarbeitung von GIF-Bildern mit null Pixeln Breite kann möglicherweise zum Ausführen beliebigen Programmcodes ausgenutzt werden.
Betroffene Systeme
- Mozilla bis einschließlich Version 1.0
- Netscape in den Versionen 6.x
Einfallstor
GIF-Bild, auf das z.B. in einer Webseite oder HTML-Nachricht verwiesen
wird.
Auswirkung
Der Browser stürzt ab (Denial of Service). Wahrscheinlich
ist auch das Ausführen beliebigen Programmcodes möglich (remote
user compromise).
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Wegen eines Logikfehlers handhabt der GIF-Dekoder in Mozilla (bzw.
Netscape 6) GIF-Bilder mit null Pixeln Breite nicht korrekt.
Der allokierte Puffer für das Bild ist viel zu klein. Ein Angreifer
kann somit den Heap korrumpieren (was zum Programmabsturz führt)
und durch gezieltere Aktionen wahrscheinlich beliebigen Programmcode
mit den Rechten des Benutzers, der Mozilla bzw. Netscape benutzt,
ausführen.
Ein Abschalten der Anzeige aller Bilder ist (auch als temporäre Maßnahme) wirkunglos.
Gegenmaßnahmen
- Aktualisierung auf Netscape 7.0 bzw. Mozilla 1.0.1 (wenn verfügbar).
- Einspielen des Patches aus dem CVS.
- Das RUS-CERT stellt ungeprüfte Mozilla-Pakete mit dem Patch für Debian (unstable) auf x86-Prozessoren zur Verfügung.
Vulnerability ID
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=955