Mozilla: Firefox kwetsbaar voor kwaadaardige afbeeldingen

Mozilla heeft een patch uitgebracht die een lek in Firefox en Thunderbird moet dichten. Volgens de organisatie was een speciaal vervaardigde afbeelding voldoende voor een succesvolle aanval op gebruikers.

Volgens Mozilla bevat libpng, de verzameling code die browsers gebruiken voor het omgaan met png-afbeeldingen, een kwetsbaarheid die integer overflows mogelijk maakt. Gevolg is dat kwaadwillenden speciale afbeeldingen kunnen fabriceren waarmee ze malware het systeem van slachtoffers kunnen binnensmokkelen. Alleen al het weergeven van dergelijke afbeeldingen op een website in Firefox, of een e-mail in Thunderbird zou voldoende zijn voor een succesvolle aanval.

Mozilla heeft vrijdag versie 10.0.2 van Firefox uitgebracht, waarin de CVE-2011-3026-kwetsbaarheid, die door Red Hat gemeld werd, verholpen is. Woensdag rolde Google al een nieuwe versie van zijn browser uit om hetzelfde lek te dichten. De beveiligingsonderzoeker die het kritieke lek meldde kreeg er 1337 dollar voor van Google en de patch maakte onderdeel uit van de update naar Chrome 17.0.963.56. Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 18-02-2012 14:49 42

18-02-2012 • 14:49

42

Lees meer

Veelgebruikte libpng-bibliotheek is kwetsbaar door bug - update
Veelgebruikte libpng-bibliotheek is kwetsbaar door bug - update Nieuws van 16 november 2015
Mozilla begint met integratie social api in Firefox 17
Mozilla begint met integratie social api in Firefox 17 Nieuws van 14 oktober 2012
Mozilla brengt Firefox 13 in stilte uit
Mozilla brengt Firefox 13 in stilte uit Nieuws van 4 juni 2012
Mozilla wil Firefox-interfaces harmoniseren met Australis-design
Mozilla wil Firefox-interfaces harmoniseren met Australis-design Nieuws van 2 mei 2012
Mozilla overweegt opt-in-model voor plug-ins binnen Firefox
Mozilla overweegt opt-in-model voor plug-ins binnen Firefox Nieuws van 15 april 2012
IBM: aanvallers passen strategie aan door betere beveiliging
IBM: aanvallers passen strategie aan door betere beveiliging Nieuws van 27 maart 2012
Nightly builds Firefox gebruiken standaard https voor Google
Nightly builds Firefox gebruiken standaard https voor Google Nieuws van 21 maart 2012
Thunderbird krijgt geïntegreerde instant messaging-functie
Thunderbird krijgt geïntegreerde instant messaging-functie Nieuws van 19 maart 2012
Onderzoeker publiceert 'ernstig' lek in IE8
Onderzoeker publiceert 'ernstig' lek in IE8 Nieuws van 6 september 2010
Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit
Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit Nieuws van 18 oktober 2009
Meer applicaties gevoelig voor uri-lek
Meer applicaties gevoelig voor uri-lek Nieuws van 18 juli 2007
Browserlek veroorzaakt door combinatie IE en Firefox
Browserlek veroorzaakt door combinatie IE en Firefox Nieuws van 11 juli 2007
Firefox en Thunderbird updates verhelpen veiligheidslekken
Firefox en Thunderbird updates verhelpen veiligheidslekken Nieuws van 24 februari 2007
Nieuwe veiligheidsproblemen in PNG-library ontdekt
Nieuwe veiligheidsproblemen in PNG-library ontdekt Nieuws van 6 augustus 2004
Meer producten en artikelen
Browsers Netwerk en systeembeheer Google Mozilla Chrome Firefox Beveiliging E-mail Patches

Reacties (42)

-Moderatie-faq
42
37
20
0
0
3
Wijzig sortering
Verwijderd 18 februari 2012 15:03
Waarom is dit artikel op Firefox toegespitst als het ook andere browsers betreft?
epTa @Verwijderd18 februari 2012 15:14
Dat vraag ik mij ook af. Zet dan neer libpng bevat kwetsbaarheid.
Mozilla & Google dicht zijn producten, maar heel veel programma's gebruiken libpng.

Steam gebruikt geloof ik libpng, maar mijn foobar2000 ook. Een snelle search geeft Autodesk, Nmap etc. Opera geloof ik niet.
Verwijderd @epTa18 februari 2012 20:09
Scorched 3D
Alles wat GTK aanroept.
The GIMP (via GTK, maar gebruikt vaak z'n eigen versie in de bin map)
ergens in system32 kan 'ie ook rondhangen

Gelukkig zijn de meeste van dat soort programma's dingen die niet zo snel een rare PNG zullen zien... GIMP dan misschien nog wel, maar als ik zo de bugzilla van GIMP bekijk zitten ze vaak bovenop libpng problemen.
ZpAz @Verwijderd18 februari 2012 15:11
Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn. 
Omdat ze niet weten of het andere browsers betreft.

[Reactie gewijzigd door ZpAz op 23 juli 2024 18:38]

Soldaatje 18 februari 2012 14:53
Ah goed nieuws, ik dacht al alweer een update?
Het bedrag is wel een beetje laag imo, mag wel een cijfer achter.
Hopelijk is het niet al te veel gebruikt onder blackhats voordat het gefixt was.
David Mulder @Soldaatje18 februari 2012 17:32
Gefixed als gefixed... als het echt zo kwetsbaar is als het klinkt kan dit nog een gigantische flow van malware in de hand werken... mailtjes waarvan weer eens het openen genoeg is (webmail/thunderbird/etc.), online avatars :S ... en voordat iedereen de update heeft duurt nog wel een paar maanden voor het gros van de mensen (en genoeg mensen updaten hun browsers en mail clients sowieso niet veel :S jaj@chrome en firefox tegenwoordig wat dat betreft :D )
dasiro @David Mulder18 februari 2012 20:05
firefox update zichzelf als je het niet specifiek blokkeert of een user z'n rechten afneemt, dus dat zal geen maanden meer duren, want bij diegenen dat het is geblokkeerd is er meestal wel een deftige admin die dit soort nieuws ook leest ;)
telenut @dasiro19 februari 2012 10:31
tot je firefox ergens in een citrix omgeving gebruikt...
Yezpahr @Soldaatje18 februari 2012 18:22
@Soldaatje
Dat bedrag is niet laag in mijn ogen.
Hij krijgt een maandloon gedoneerd omdat hij een melding maakt, dat vind ik toch niet laag. Het is ook niet te hoog, vind ikzelf. Dit soort bedragen mogen wel standaard worden voor goede bedoelingen.

Ditzelfde lek heb ik al meerdere malen gebruikt om mezelf te infecteren met bescherm-'malware'.
Het normale windows laat nooit toe dat ik alle programma's van windows zelf, in een sandbox draai onder andere affiniteit. Daar is wat speciale legale spyware voor nodig die ik via dit lek kon injecteren. (edit: Gewoon starten zou niet functioneel genoeg voor mij zijn, ik moest de VBS-scriptjes ook gebruiken die uiteindelijk uit een dubbel ingepakte .exe kwamen, zodat ik getimede argumenten aan de 'malware' kon doorspelen)

Dit lek staat op meerdere hacksites en is in ieder geval al in 2006 een keer gemeld toen de Al-Qaida jpg's gebruikte om malware en geheime texten uit te wisselen. Een later nieuwsbericht toonde aan dat bmp/png en jpEg ook soortgelijke fouten bevatten.
Bron: http://labnol.blogspot.co...-secret-documents-or.html

Maar serieus, dat dit nooit eerder gemeld is... als ik erbij kon had ik mezelf tegen mijn kop geschopt |:( . Ik ga gelijk even mijn oude trukendoos open plukken en kijken of er nog meer officieel niet gepatched is. }>

[Reactie gewijzigd door Yezpahr op 23 juli 2024 18:38]

smesjz @Yezpahr18 februari 2012 19:16
Bij deze bug gaat het over een kwetsbaarheid in libpng waarmee je code kan uitvoeren, bij jouw jpeg linkje is dat niet het geval. Bedoel je niet gewoon die GDI+ bug?
Dit lek staat los van eerdere lekken omdat het een andere library betreft dus knap als jij dit specifiek probleem al in 2006 langs hebt zien komen.

Offtopic: voor een RedHat software developer zal 1337 dollar nooit een maandloon zijn. Eerder 1/3 er van. Bovendien is dat nog bruto.
Yezpahr @smesjz18 februari 2012 21:48
Ik weet in ieder geval zeker dat Microsoft en een amerikaans security bedrijf het in die tijd hebben gemeld dat ze lekken hebben gevonden in andere afbeeldingsformaten en bepaalde DLL's die worden aangeroepen door browsers. Ze wilden deze niet verder bespreken wegens veiligheidsredenen.

Of dat lek wat ik gebruikte exact hetzelfde betreft betwijfel ik nadat je me herinnerde aan de GDI+ bug, et is ook alweer te lang geleden en ik gebruikte inderdaad het .gif ipv .png wat ik eerder zei.
chimnino @Yezpahr18 februari 2012 21:06
Maandloon...? Ik zou maar een andere baan gaan zoeken... Zit op t dubbele netto... Vind dit wel laag. Je meldt iets wat werk is van iemand van de mensen achter de browser. Heb geen idee wat de omvang van de bug is, maar er zijn vast meerdere meldingen gemaakt en niet 1tje die dan een leet bedrag krijgt...

[Reactie gewijzigd door chimnino op 23 juli 2024 18:38]

ultimasnake @chimnino18 februari 2012 21:33
Maar zou de melder een maand bezig geweest zijn, of 2 avondjes achter zijn computer gezeten hebben. Vind het nogal een rare discussie dat het weinig of veel is om te krijgen, je meld een bug vrijwillig en krijgt een beloning van google omdat je de 'wereld' een stukje veiliger maakt.

Ik lees b.v. nergens dat Mozilla ook een bedrag heeft geschonken aan de melder, en google hoeft dit ook niet te doen.

Onder het mom, wie het kleine niet eert is het grote niet weert?
Yezpahr @chimnino18 februari 2012 21:48
@chimnino
Toen ik zei maandloon bedoelde ik eigenlijk mijn eigen maandinkomen, ik weet wel dat een gemiddeld loon (veel) hoger ligt dan dit...
Vihaio @Yezpahr19 februari 2012 00:04
Maar het gaat hier over 1337 US Dollar, dat is 1017 Euro. Ik mag hopen dat jij meer dan dat verdient, want het minimumloon is al meer dan €1400.
Yezpahr @Vihaio19 februari 2012 16:11
Loon, ja. Uitkering, nee.
Ik ben alweer 7 maand werkloos :P .
koentjuh1987 @Soldaatje19 februari 2012 09:43
laag bedrag... nou google geeft er wel wat voor. als je die bug binnen een uurtje gevonden had dan is 1337 euro toch een aardig uurloon
Ywa 18 februari 2012 14:58
Afgelopen dinsdag bezocht ik een geïnfecteerde WordPress website (in Firefox) en kreeg ik inderdaad ineens vensters van malware/scareware (die op mijn PC geïnstalleerd waren). Lijkt mij dus hieraan gerelateerd.
alfredkayser @Ywa18 februari 2012 15:33
Lijkt me sterk dat dit door deze libpng lek komt, aangezien er nog geen exploits van deze theoretische mogelijkheid bekend zijn. (zie ook opmerking hierboven over een jpg lek die ook niet hier mee te maken heeft). (edit: 'geen' ipv 'een')

[Reactie gewijzigd door alfredkayser op 23 juli 2024 18:38]

blorf @alfredkayser19 februari 2012 13:57
Ik vraag me af wat ze met een succesvolle aanval bedoelen. Er vanuit gaande dat zowel de gebruiker als de browser als libpng-gerelateerde processen geen root-permissies hebben valt er volgens mij weinig te exploiteren. Als de gebruiker een compiler ter beschikking heeft zou hij zelf zou ook een programma kunnen schrijven dat een integer overflow veroorzaakt maar dat wil niet zeggen dat het systeem daardoor kwetsbaar is.
Volgens mij wordt dit alleen als zwakheid beschouwd omdat de Mozilla Foundation de lat zo hoog legt, wat een goeie zaak is.
bangagong 18 februari 2012 16:33
Wat ik me afvraag is of dit elders ook problemen kan opleveren. De PHP GD library maakt ook gebruik van libpng. Het zelfde probleem lijkt me hier dus ook mogelijk?
Verwijderd @bangagong18 februari 2012 16:59
In principe wel. Dit ruikt naar de oude kwetsbaarheid in gdiplus.dll (staat niet bij gerelateerde berichten):
nieuws: 'JPEG of death'-hoax na 10 jaar werkelijkheid
nieuws: Eerste echte JPEG-virus in het wild gesignaleerd

Even zoeken op libpng*.dll op je HDD (of iig je Program Files) dus - en dan maar hopen dat mensen het ding extern hebben gelaten, anders moet je nog dieper duiken om te zien wat er gevoelig voor zou kunnen zijn.

Aan de andere kant zullen virusscanners het gebruik van de exploit wel kunnen herkennen en de bestanden op die manier moeten kunnen weren nog voor een programma toegang krijgt.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:38]

YopY 18 februari 2012 15:03
Volgens de organisatie was een speciaal vervaardigde afbeelding voldoende voor een succesvolle aanval op gebruikers.
Ja, sommige foto's op internet zijn echt... wtf. :+
Jegorex 19 februari 2012 00:09
Het viel me vandaag op dat de libpng library op mijn ubuntu server ook is geupdate, heeft dit dezelfde reden?
Damic @Jegorex19 februari 2012 10:22
Jup
johnkeates 19 februari 2012 14:06
Dat is nog eens een leuke :) 1337 dollar! Stel je bent een hacker en je bent goed bezig om lekken op te sporen en te melden, dan is 1337 natuurlijk extra leuk! Echte tweakers snappen dit wel ;)
Verwijderd 19 februari 2012 16:29
Ik wist al van deze kwetsbaarheid, ik werk al jaren met libpng en zlib in afbeelding compressie applicaties. Ik had potverdorie 1337 dollar kunnen verdienen.
Verwijderd 19 februari 2012 19:14
Zat de bug nou in mozilla of in libpng?
sam.vimes 20 februari 2012 15:02
Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn.
In principe zijn alle programma's die libpng 1.2 gebruiken voor het renderen van "onbetrouwbare" PNG's (dat is in principe alles wat "van buiten" komt en wat je niet zelf hebt gemaakt) kwetsbaar.
Gelukkig zag ik vorige week al een security-update voor Debian Squeeze (=stable) langs komen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq