Bilder sollten Angst machen (was Re: HTML-Mails)
Bjoern Meier schrieb am Dienstag, den 28.02.2012 um 10:02:
> - Screenshots würden sofort in der Autovorschau (ja OMG, ich verwende
> sie. Immerhin ist ein Bild an sich noch selbst kein aktiver Teil, mh?)
> sichtbar
"keine aktiver Teil, mh?" ;)
So etwas wie "Autovorschau" finde ich sehr leichtsinnig, weil durch
Lücken in den Bibliotheken für Bildformate (oder Audio- oder
Videoformate oder PDF) die Ausführung von beliebigem Schadcode auf
dem System möglich werden kann.
Ähnliches ist schon oft passiert und das letzte Mal, dass
Sicherheitsupdates für "Multimedia"-Formate auch für Debian heraus
kamen, ist gefühlt noch gar nicht so lange her.
Weiterer Lesestoff zu dem Thema findet sich hier:
http://www.heise.de/security/meldung/libpng-fuehrt-untergeschobenen-Schadcode-aus-199294.html
http://www.heise.de/security/meldung/Buffer-Overflows-in-libpng-103773.html
In Englisch:
http://web.archive.org/web/20060926150336/http://phenoelit.de/stuff/Shutup.pdf
Die Präsentation von phenoelit finde ich wirklich nett gemacht,
obwohl sie schon etwas älter ist und heute leider nur noch mit etwas
Mühe im Internet zu finden ist. Wer selber programmiert oder sich mit
der Sicherheit von Computern befasst, sollte sich die mal anschauen.
Fazit: Daten können zu Code werden, Code kann zu Daten werden.
Obwohl die Quelltexte von libpng, libjpeg usw. frei verfügbar sind
und inzwischen von vielen klugen Leuten angeschaut wurden, ist das
noch keine Garantie, dass inzwischen keine Angriffspunkte mehr darin
zu finden sind.
Viele Grüße,
Peter Funk
--
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany
DRUPA 3.5.-16.5.2012: Besuchen Sie uns in Halle 4 auf Stand B02
Reply to: