Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties
Bron: C|Net

Het security-lek in een zlib library waar hier over bericht wordt heeft ook nare gevolgen voor enkele Microsoft-producten die dezelfde liberary gebruiken, zo meldt C|Net. Tenminste negen applicaties van Microsoft - waaronder Office en Internet Explorer - zouden kwetsbaar zijn, aangezien ze code zouden gebruiken die geleend is van de compressie-library.

Inmiddels is er een update van de zlib library beschikbaar, maar enkele Microsoft-vertegenwoordigers wisten niet te melden of de library-code toegepast wordt in MS' software en of er ook patches door hen uitgebracht moeten worden. Een groot security-onderdeel van MS doet hier op dit moment onderzoek naar. Doordat het Graphics Edive Interface een onderdeel van Windows XP is en deze software ook aangetast is, zou het zelfs een gevaar voor dit hele besturingssysteem op kunnen leveren. De maker van zlib, Gailly, is vooral verbolgen over het feit dat Microsoft - er vanuit gaande dat daadwerkelijk zlib-code is gebruikt - de copyrightmeldingen uit de code heeft geschrapt:

Security bugjeFor the library, the only license requirement is that a copyright notice be included in the program source-code, if released. Microsoft, which rarely releases source code, didn't need to include the string in the company's programs, but zlib creator Gailly wishes the giant gave credit.

"It bothers me that they removed the zlib copyright string from some binary versions," he said. In the future, he added, new versions of the library may include such a requirement.

mrdeb87 meldde dit nieuws. Onze dank

Update 17:00:
Door omstandigheden is dit bericht te vroeg online geplaatst, waardoor het niet volledig was. Hiervoor onze excuses.

Moderatie-faq Wijzig weergave

Reacties (17)

Doordat het Graphics Edive Interface een onderdeel van Windows XP is en deze software ook aangetast is, zou het zelfs een gevaar voor dit hele besturingssysteem op kunnen leveren.
Jongens... kom OP nou... 1) wat is de bug? (double free()) 2) wanneer is deze schadelijk? (wanneer de 2e free() (dus een free(NULL)) de C-runtime crasht) 3) is dit schadelijk op MS platforms? (nee, de msvcrt runtime negeert een free van een NULL pointer).

Jean-loup Gailly moet overigens niet zo zeuren. Dit staat er in de readme van zlib1.1.3 srccode:
This software is provided 'as-is', without any express or implied
warranty. In no event will the authors be held liable for any damages
arising from the use of this software.

Permission is granted to anyone to use this software for any purpose,
including commercial applications, and to alter it and redistribute it
freely, subject to the following restrictions:

1. The origin of this software must not be misrepresented; you must not
claim that you wrote the original software. If you use this software
in a product, an acknowledgment in the product documentation would be
appreciated but is not required.
2. Altered source versions must be plainly marked as such, and must not be
misrepresented as being the original software.
3. This notice may not be removed or altered from any source distribution.
(Oftewel een BSD v2 license).

Overigens is de zlib library een van de vele implementaties van Katz' format. (en een erg slechte ook. De sourcecode is niet om aan te zien).
Het door jou vet gemarkeerde "but is not required"
slaat alleen op de documentatie van de afgeleide producten.

Er staat ook "The origin of this software must not be misrepresented; you must not claim that you wrote the original software." en in dat verband kan ik me dan wel iets voorstellen bij Gailly's ongenoegen dat "It bothers me that they removed the zlib copyright string from some binary versions".

Als je gratis en kennelijk gretig gebruik maakt van iemands code dan kun je toch op z'n minst die lullige 'char *notice = "(c) Gailly 2000"; ' (o.i.d.) er in laten zitten ? (want om zoiets simpels zal het waarschijnlijk gaan).
Niemand heeft nog toegegeven officieel dat zlib.lib static gelinked is in een aantal applicaties. Er zijn nl. nogal wat zipcompressie libraries in omloop. Dat die remark alleen op de documentatie zou slaan is onzin, het is de license voor de software (BSD v2). Had Gailly een BSD v1 license genomen dan had er een (c) notice in moeten staan. Tja, no offence, maar als je software als open source released, denk dan goed na over de license en denk ook GOED na over waarom je het op die manier released. Kennelijk vind Gailly het goed dat jan en alleman zn lib gebruikt, maar zodra MS dat doet, hij het naar vindt oid. In WinZip zit vziw ook geen (c) Gailly, zelfs geen (c) Katz. Als je wilt dat men je werkt herkent, zorg er dan voor dat je sourcecode voorzien is van de juiste license. Achteraf mopperen is dan <maxima mode> beetje dom </maxima mode>
Inderdaad, zlib staat alleen toe dat mensen met de interne
structuren van de heapmanager klooien.

Om dezelfde reden zijn de meeste BSDs ook niet vulnerable, ofschoon ze zlib gebruiken; ze gebruiken
een andere malloc library.

En Microsoft heeft een handje van BSD spul te kopieren,
niet GNU/Linux spul; :-)
Even ter verduidelijking: ze nemen BSD-spul omdat dit volgens de BSD-licentie mag. De GPL (GNU public license) verbied dit soort graaipraktijken.
voor zover ik weet is het gedrag van de zlib bug zo, dat hetzelfde stuk geheugen twee keer wordt ge'free'd. Dat levert onder unix wel een probleem op, maar onder windows niet, omdat windows' free-implementatie checkt of het geheugen niet al ge'free'd is.
De bug zal dus vast in die producten zitten, maar ik betwijfel ten zeerste of ze er daadwerkelijk last van zullen hebben.
het word hier nergens vermeld, dus doe ik het maar ff, een bug-vrije library is hier te verkrijgen

hier is de bug, wat preciezer als hier vermeld:
http://www.gzip.org/zlib/advisory-2002-03-11.txt
de licentie vind je hier:
http://www.gzip.org/zlib/zlib_license.html
Kan iemand op n00b-niveau uitleggen wat zlib nu eigenlijk inhoudt :?

Wat doet het , en wat doet het in de win-software dan :?
zlib = Zip Library, dacht ik zo. Van de officiele site:

"A Massively Spiffy Yet Delicately Unobtrusive Compression Library"

Wat dat in frontpage en directX doet, geen idee.
Compressen wordt regelmatig gedaan, met teksten gaat het perfect en ook met afbeeldingen haal je goede resultaten. Het is dus best handig om een plaatje te comprimeren... Laten heel veel bestandsformaten dat nou ook precies doen.

GIF, PNG en JPEG (momenteel de enige standaardformaten op het www) hebben geen zip-compressie, maar andere formaten wellicht wel, ik kan er zo geen bedenken. Frontpage en DirectX zitten nogal in de graphics-business en zouden dus ook die formaten moeten kunnen lezen, zo lijkt me.

Is zlib trouwens ook niet gebruikt om de site van Tweakers te versnellen ooit? Dat betekent dat ook bijvoorbeeld IE de bug bevat, want die gebruikt ook zlib.
GIF word wil gecoprimeerd.
GIF is een paletized plaatje, wat daarna gecomprimeerd wordt door een algoritme dat geoptimized is voor max 8-bits. Daarom kan je et GIF plaatjes ook maar maximal 256 kleuren gebruiken.

Als je een GIF plaatje nog een keer gaat comprimeren zal dat niet helpen.
Ook JPEG wordt nadat de lossless techniek is gebruikt, ook nog lossless gecomprimeerd om die laatste paar procenten eruit te krijgen.
Ik neem aan dat dit bij PNG ook op gaat.

De gebruikte lossless compressie 'lijkt' op ZIP, maar is dat niet.
brammus: De meeste huidige losslees compressie technieken zijn op het "Lempel-Ziv" Algoritme gebaseerd.
Als je daar meer over wil weten raad ik Google aan :).

zlib en 'zip' (Winzip, PKZip etc), gebruiken alletwee het Lempel-Ziv algoritme, maar hebben hier kleine aanpassingen op (wat vooral in de manier van dictionary bouwen zit). Dus ze delen dezelfde basis, maar zijn zeer zeker niet identiek!

BTW. Lossless compressie betekend dat wat je comprimeerd ook 100% terug krijgt zonder afwijkingen.

Lossy compressie (JPEG bijvoorbeeld) kan alleen maar een benadering van het orrigineel geven, maar kan zo wel veel beter comprimeren.
GIF, PNG en JPEG (momenteel de enige standaardformaten op het www) hebben geen zip-compressie, maar andere formaten wellicht wel, ik kan er zo geen bedenken.
PNG gebruikt wel degelijk zlib voor de compressie.

http://www.libpng.org/pub/png/spec/PNG-Compression.html
Aha! op die manier ...

Is dit een afgeleide van PKzip of andersom :?
Of hebben die 2 (zlib pkzip) nix met elkaar te maken ?
En is er een verband tussen zlib en gzip ?

Erg veel vragen, kweetut, is er anders op het web wat NL-taligs over te lezen? (want engels-vakterm=lees-klote) :)
Mag Microsoft zlib wel gebruiken eigenlijk? Er staat dat het open source is, is het onder de GPL of de BSD-license verschenen? Want ik dacht dat wanneer het onder de GPL verschenen is, het niet zonder bronvermelding en in closed source gebruikt mocht worden. Ook als het slechts stukken code betreft.
Zlib valt onder de BSD License. Microsoft mag deze code gewoon gebruiken in hun OS. Dit hebben ze ook gedaan met de TCP/IP stack. Was Zlib onder de GPL gereleased, dan hadden ze niet alleen de bron moeten vermelden, maar ook de complete source voor hun OS moeten releasen onder GPL. Dit is volgens hen (en ook volgens veel mensen binnen de OSS beweging) het grote nadeel van de GPL. De BSD License is veel vrijer, je kan namelijk met de code doen wat je wilt zonder toestemming van de originele auteur.

Misschien komt de Zlib implementatie in Windows uit Xenix, een OS dat Microsoft ooit gekocht heeft wat oa de muisgestuurde interface en het WIMP systeem (windows, icons, menus, pointer) heeft geintroduceerd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True