Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Bron: C|Net

C|Net meldt dat zes fouten met betrekking tot het Portable Network Graphics-formaat (PNG) ervoor kunnen zorgen dat kwaadwilligen toegang krijgen tot Linux-, Apple- en Windows-computers. Het meest kritieke probleem bestaat uit een buffer overflow waardoor kwaadaardige code uitgevoerd kan worden wanneer het plaatje geladen wordt. Verschillende programma's die gebruikmaken van libPNG en misbruikt kunnen worden zijn de Mail-applicatie in Mac OS X, Opera en Internet Explorer op Windows en Mozilla en Netscape op Solaris. Anderhalf jaar geleden verbeterde Microsoft al een bug in de manier waarop Internet Explorer met PNG-afbeeldingen omging en meer dan twee jaar geleden werd een probleem ontdekt waardoor PNG-afbeeldingen programma's onder Linux konden laten crashen. Een verbeterde versie van libPNG is ondertussen beschikbaar.

PNG
Moderatie-faq Wijzig weergave

Reacties (51)

Volgens mij is dit oud nieuws. Er zijn bijvoorbeeld al updates voor de libPNG en de diverse Mozilla programma's verschenen die dit probleem oplossen.

Bovendien zit het probleem volgens mij niet in het PNG formaat maar in libPNG.
Titel:
Nieuwe veiligheidsproblemen in PNG-formaat ontdekt.

Er zijn ook al eerder veiligheidslekken in ie gevonden dat wil niet zeggen dat er nu geen veiligheidslekken meer in zitten :+.
Het gaat hier dus duidelijk om een implementatie fout in de png rendering library libpng, NIET om een fout in het PNG formaat zelf. hackers schrijven een png bestandje zo weg dat de implementatie het PNG filetje daardoor op een verkeerde manier intepreteerd en verkeerde instructies gaat uitvoeren. formaten opzichzelf zijn vaak niet het probleem, het is bijna altijd de implementatie. denk maar eens aan ssl/ssh, er is bijna niemand die keys gaat bruteforcen, zonde van je tijd, in plaats daarvan maak je gebruik van een implementatie fout. natuurlijk wel spijtig dat er weer zo'n stomme overflow gevonden worden, maar aan de andere kant is het netjes gemeld dat er een fout is, en staat er al weer een nieuw pakketje van libpng klaar om te downloaden, toch hopen dat 't niet te vaak gebeurt.
Moeten we nu ook alle PNG's die we zelf gemaakt hebben opnieuw renderen, of ligt het probleem enkel bij de client?
Dat vraag ik me ook af. Dit artikel zegt dat er zes fouten zitten in het PNG-formaat, maar daarna wordt er gesproken van een fout in libpng. Ik gok dat het aan het laatste ligt, maar het staat wel een beetje raar, zo.
't is een incorrecte titel, de fouten zitten inderdaad in lib-png, niet in het png-formaat.
Debian heeft al nieuwe packages op de update servers staan.
grappig, ik kreeg gister al een nieuwe versie van libpng bij de Yum updates van Fedora Core :P
bij linux zijn ze er zo te zien snel bij. nu MS nog...
Ik heb begrepen dat het alleen een client probleem is en dat er speciale gemaakte bestanden voor nodig zijn om een overflow te genereren. Dus oude plaatjes blijven werken
Dan is het geen formaat probleem, maar de uitvoering van de functionaliteit van de client.
Nee, het probleem is anders. Een kwaatwillend iemand kan een PNG zo maken dat deze een soort van virus bevat.

Verschillende programma;s maken gebruik van de libPNG om png bestanden correct weer te geven. Deze library kan bepaalde data die in een png bestand verstopt kan zitten niet goed aan wat voor een buffer overflow (gebruikt om willekeurige code het geheugen in te krijgen) kan zorgen.

Ik verwacht dat de verschillende programma's binnenkort met een update komen waardoor deze png's geen kwaat meer kunnen.

[spuit11] sneller typen enzo, ofgewoon minder :)[/spuit]
In FireFox 0.9.3 is dit al gefixt, zie de meuktracker van een paar dagen geleden.
Internet Explorer gebruikt libPng niet.
Waar haal jij die wijsheid vandaan???
Als ik in mn win2k src treetje kijk zie ik toch echt in [i]\inet\mshtml\src\site\download\pnglib[/i]
[quote]
libpng.txt - a description on how to use and modify libpng

libpng 1.0 beta 2 - version 0.87
For conditions of distribution and use, see copyright notice in png.h
Copyright (c) 1995, 1996 Guy Eric Schalnat, Group 42, Inc.
January 15, 1996
Updated/rewritten per request in the libpng FAQ
Copyright (c) 1995 Frank J. T. Wojcik
December 18, 1995 && January 20, 1996

[/quote]

Met alle andere libpng bestanden erbij ;)
Het verbaasde mij ook, zeker omdat als ze libPNG gebruiken ook wel goed de transparantie (alpha channel) kunnen toepassen
KnoppenSpook: blijkbaar ondersteunde de betaversie die MS gebruikt geen alpha transparency en is dit in een latere API toegevoegd aan libpng. Zie Razor_Blade's reactie voor de versie van libpng die gebruikt wordt.

Overigens is deze bug op te lossen in de meeste gevallen door gewoon een nieuwe versie van libpng te installeren. Dat veel closed-source win32 progsels libpng stiekum statisch meecompileren zorgt ervoor dat die ook een update moeten hebben.
KnoppenSpook: Het transparante(alpha channel) gedeelte van de png specificatie, die te vinden is op w3.org is een optioneel iets. Het is dus een extra optie en waarschijnlijk heeft men er destijds voor gekozen om dit niet toe te voegen.
Ze voldoen zo aan de specificatie alleen de extra optie die eigenlijk png zo nuttig maakt hebben ze over het hoofd gezien. Daar zullen ze nu wel flink spijt van hebben denk ik.
(reactie op KnoppenSpook)

Lol inderdaad. Dat werkt overal behalve in IE op windows.
Mozilla, mozillafirefox ent hunderbird is een update van verschenen die de libpng die gebruikt wordt in deze producten verhelpt. Andere programma's zullen idd sne; volgen denk ik.
Joh, typ maar rustig, we lezen het heus wel. Of lees iig je post nog even over, want dit ziet er echt niet uit.

Overbodig? Man, hoevaak ik dit soort slordige reacties wel niet zie! Doe ff relaxt, typ netjes, dat leest een stuk prettiger. Zo houd je bijvoorbeeld ook rekening met dyslectische mensen!
Ik denk dat je je PNG's inderdaad moet aanpassen en voorzien van een andere exploit, binnenkort werken je buffer-overflow's nier meer :+
Het gaat over de implementatie van de client. Door daarin een paar nieuwe checks te maken kan er niet meer van deze fout gebruik gemaakt worden.
Voor de mozilla met linuxtweakers weer tijd om terug te stappen naar Windows met Internet Explorer dus :+
Dat lijkt me lastig te verdedigen, aangezien Mozilla enkele dagen geleden gepatched is en IE nog niet. Maar verklaar je nader.
En waarom zouden ze dat willen doen? Alle Mozilla-produkten waren al gepatcht voordat het nieuws over deze problemen naar buiten is gebracht.
Ik ben eigenlijk best benieuwd naar de manier waarop zoiets werkt. Naar mijn weten checked een image-viewer de header van het bestand. Ik neem toch aan dat zodra het geen afbeelding is, je niets te zien krijgt (Not an image file oid). Hoe kan het zo zijn dat kwaadaardige code dan alsnog wordt uitgevoerd?
Inderdaad, dan zou het dus ook geen fout in het PNG formaat zijn maar een fout in de programmatuur die de PNG verwerkt...
Zoiets had ik dus ook in gedachten, lijkt me sterk dat er "uitvoerbare" code in een PNG bestand "verstopt" kan zitten :o
Kan dus wel... Dit is eerder ook wel eens bij jpeg en mp3'tjes gevonden. Bestanden bevatten meer data dan je normaal ziet. Een voorbeeld dat veel mensen wel kennen zijn de id3 tags van mp3's of de metadata van een jpeg (waar oa de naam van de fotograaf in kan worden opgeslagen).
Niet elk bestand is zo rechttoe rechtaan opgebouwd als een .txt of .bmp bestand (zonder meteen te zeggen dat het niet mogelijk is daar een virus in te verbergen).
dit is absoluut geen probleem van het formaat. het is een probleem van ÚÚn specifieke library die het formaat kan lezen.

het heeft niks met rechttoe rechtaan te maken, als ik een texteditor schrijf die op een foutieve manier een regel inleest in een buffer van 100 tekens en iemand maakt een tekstbestand met een regellengte van meer dan 100 tekens kan een textbestand net zo link zijn.
Een afbeelding bevat naast de image informatie nog meer info, en daar zit het probleem.

Ik kan me bijvoorbeeld voorstellen dat als er enorm vele metadata mee wordt gestuurd dat de library dit niet aankan en daardoor een bufferoverflow veroorzaakt (al zit dit wel erg simpel zijn, maar het gaat om het idee). Het kan dus best zijn dat het EN een virus EN een afbeelding is.

En ROELIO, zoals in de tekst staat is het idd een fout in de png library.
door die overflow fout :D
Alweer buffer overflow probleem. Hoe vaak hebben we verhalen niet gelezen waar men via buffer overflow kwalijk in de andermans systeem kan komen... :(

Omdat deze overflow probleem veel voorkomt, waarom testen ze niet boel eerst hierop zodat het stukken veiliger wordt? Er moet toch ergens lampje branden?

En aan andere kant hoort het eigenlijk niet zo dat een afbeelding virussen of kwalijke codes met zich meebrengt. Anders mogen we straks niet meer zonder virusscanner de plaatjes bekijken |:( (ook al komt het van spam bericht waar men foto zou staan van onthoofde beroemdheid....)

Ik haat echt dat ze 'uitvoerbare' afbeelding formaat ontwerpen. Ik heb wel genoeg aan exe,com,pif,bat, doc, enz.......
nee nee nee het is niet een uitvoerbaar formaat, maar je wilt bijvoorbeeld wel als je op tweakers een nieuwsartikel kopieert naar je mail client, dus vanaf je browser naar je mail app, datie alle info overzet, dus niet alleen de tekst, maar ook het png bestand, in de juiste opmaak, hiervoor zit dus bepaalde metadata, gegevens in het bestand zodat conversie tussen verschillende programma┤s geen problemen geeft.Dit heeft niks te maken met uitvoerbare bestanden (executable)
Omdat deze overflow probleem veel voorkomt, waarom testen ze niet boel eerst hierop zodat het stukken veiliger wordt? Er moet toch ergens lampje branden?
Dat lampje is al heel lang gaan branden bij software ontwikkelaars. Helaas is het vinden van een buffer overflow fout niet echt het gemakkelijkste wat er is. Mensen maken nu eenmaal fouten. Ik denk dat je met testen een heel eind kunt komen, maar ook dat heeft zijn grenzen.

Dit is misschien ook wel een van de voordelen van talen zoals C# of Java, daar kan je dit soort fouten niet in maken, omdat de code "managed" is, de vm (of wat dan ook) controleert alles netjes runtime. Er zijn nog wel een aantal andere dingen waarmee wordt geprobeert het uitbuiten van buffer overflows tegen te gaan, zoals speciale aanpassingen in de processor (intels en amd's krijgen dat nu ook)
Hoezo microsoft verbeterde de manier waarop IE met PNGs omgaat? De PNG support in IE is ongeveer even bagger als goed als de graphics support in Lynx. En waarschijnlijk even bewust.
Inderdaad ja, transparante PNG die er stukken beter uitzien dan het GIF equivalent worden gewoon met achtergrond weergegeven.
Als webprogrammeur wil je dat zoiets gewoon werkt, zonder work-arounds. Als je zo voor een drietal webbrowser, telkens een of een paar bugs moet gaan oplossen, vind ik dat verre van een "prima oplossing", maar een groot tijdverlies.

Ook vooral het feit dat mensen al jaren over dit probleem klagen, maar het nu nog altijd niet opgelost is, maakt dit gedrag onvergeeflijk.
Prima?

Het is totaal onbetrouwbaar en ik zou het nooit gebruiken, want werkt pas vanaf IE 5.5
Bovendien kan je het niet toepassen op CSS background-images.

Als er nu een patch zou komen voor IE (6) dan zullen ze ook geen patches releasen voor lagere versies denk ik... hopeloos dus :P
Debian heeft inmiddels ook patches uitgebracht bij de libpng(2|3) packages.
Bij Gentoo is inmiddels ook een gefixte versie beschikbaar.
http://bugs.gentoo.org/show_bug.cgi?id=59424

De fix zit in libpng-1.2.5-r8
Redhat/Fedora heeft de update ook al weer klaarstaan:
libpng-1.2.2-22.i386.rpm
Eenvoudig te installeren met up2date of apt.
Zo, met de vertraging van XP SP2 heeft Microsoft mooi nog de gelegenheid om even snel de nieuwe libpng mee te compileren. Geluk bij een ongeluk zullen we maar zeggen.
Wishful thinking... Wedden dat ie er niet in zit ;(
Is het niet zo dat mozilla zn eigen libpng meeleverd?

Dus alleen libpng updaten helpt niet voor mozilla, die moet je appart updaten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True