Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1515

[Generic/libpng] Schwachstelle in PNG-Bibliothek libpng
(2009-02-24 13:20:14.67492+00) Druckversion

Quelle: http://www.securityfocus.com/bid/33827

Eine Schwachstelle in der Bibliothek libpng zur Verarbeitung von PNG-Bildern kann von einem Angreifer dazu ausgenutzt werden, die entsprechenden Prozesse zum Absturz zu bringen, bzw. beliebigen Programmcode auf dem beherbergenden System auszuführen. Die Bibliothek wird von zahlreichen Applikationen, darunter auch Webbrowsern, verwendet.

Inhalt

Zusammenfassung

  • CVE-2009-0040:
    Betroffen: libpng 1.2.34 und frühere Versionen
    libpng 1.0.42 und frühere Versionen
    Einfallstor: libpng 1.2.35
    libpng 1.0.43
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: bedingt
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0040

Betroffene Systeme

  • libpng 1.2.34 und frühere Versionen
  • libpng 1.0.42 und frühere Versionen
Anwendungen, die diese Bibliothek verwenden, z.B.
  • Webbrowser
  • Bildbetrachtungsprogramme
  • Bildbearbeitungsprogramme
  • ...

Nicht betroffene Systeme

  • libpng 1.2.35
  • libpng 1.0.43

Einfallstor

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, ein entsprechendes PNG-Bild zu verarbeiten, etwa, es zu betrachten. Ein solches Bild kann dem Opfer z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
    (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Anwendungsprozesses
    (user compromise)

Typ der Verwundbarkeit

  • Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in der Bibliothek libpng zur Verarbeitung von PNG-Bildern kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der die Anwendung gestartet hat, die die verwundbaren Funktionen der Bibliothek verwenden. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung unmittelbar zur Kompromittierung des beherbergenden Systems.

Um die Schwachstelle erfolgreich ausnutzen zu können, muss ein Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, ein entsprechendes PNG-Bild zu verarbeiten, etwa, es zu betrachten. Ein solches Bild kann dem Opfer z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.

Workaround

  • Vermeidung der Verarbeitung von PNG-Bildern auf einem betroffenen System.
    In der Praxis ist dies nur sehr schwierig durchführbar, da sehr viele Programme, die in in irgendeiner Form PNG-Bilder verarbeiten können, betroffen sind.

Gegenmaßnahmen

  • Installation von libpng-1.0.43
  • Installation von libpng-1.2.35
  • Installation der entsprechenden Pakete der verschiedenen Distributoren

Vulnerability ID

(og)

Weitere Artikel zu diesem Thema:

  • [Generic/Mozilla] Mehrere Schwachstellen in Firefox, Thunderbird und Seamonkey (2009-03-05)
    Mehrere Schwachstellen in Firefox 3.0.6 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen, Daten fremder Seiten auszulesen oder den angezeigten URI im Adressfeld zu manipulieren. Die Schwachstellen betreffen auch Thunderbird und Seamonkey, da sie die entsprechenden Funktionen des Browsers verwenden. Die neue Version Firefox 3.0.7 behebt die Schwachstellen. Aufgrund des Gefahrenpotentials einiger dieser Schwachstellen ist die unverzügliche Aktualisierung des Firefox-Browsers auf die neue Version dringend empfohlen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.