Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Mozilla heeft een patch uitgebracht die een lek in Firefox en Thunderbird moet dichten. Volgens de organisatie was een speciaal vervaardigde afbeelding voldoende voor een succesvolle aanval op gebruikers.

Volgens Mozilla bevat libpng, de verzameling code die browsers gebruiken voor het omgaan met png-afbeeldingen, een kwetsbaarheid die integer overflows mogelijk maakt. Gevolg is dat kwaadwillenden speciale afbeeldingen kunnen fabriceren waarmee ze malware het systeem van slachtoffers kunnen binnensmokkelen. Alleen al het weergeven van dergelijke afbeeldingen op een website in Firefox, of een e-mail in Thunderbird zou voldoende zijn voor een succesvolle aanval.

Mozilla heeft vrijdag versie 10.0.2 van Firefox uitgebracht, waarin de CVE-2011-3026-kwetsbaarheid, die door Red Hat gemeld werd, verholpen is. Woensdag rolde Google al een nieuwe versie van zijn browser uit om hetzelfde lek te dichten. De beveiligingsonderzoeker die het kritieke lek meldde kreeg er 1337 dollar voor van Google en de patch maakte onderdeel uit van de update naar Chrome 17.0.963.56. Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn.

Moderatie-faq Wijzig weergave

Reacties (42)

Waarom is dit artikel op Firefox toegespitst als het ook andere browsers betreft?
Dat vraag ik mij ook af. Zet dan neer libpng bevat kwetsbaarheid.
Mozilla & Google dicht zijn producten, maar heel veel programma's gebruiken libpng.

Steam gebruikt geloof ik libpng, maar mijn foobar2000 ook. Een snelle search geeft Autodesk, Nmap etc. Opera geloof ik niet.
Scorched 3D
Alles wat GTK aanroept.
The GIMP (via GTK, maar gebruikt vaak z'n eigen versie in de bin map)
ergens in system32 kan 'ie ook rondhangen

Gelukkig zijn de meeste van dat soort programma's dingen die niet zo snel een rare PNG zullen zien... GIMP dan misschien nog wel, maar als ik zo de bugzilla van GIMP bekijk zitten ze vaak bovenop libpng problemen.
Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn.á
Omdat ze niet weten of het andere browsers betreft.

[Reactie gewijzigd door ZpAz op 18 februari 2012 15:29]

Ah goed nieuws, ik dacht al alweer een update?
Het bedrag is wel een beetje laag imo, mag wel een cijfer achter.
Hopelijk is het niet al te veel gebruikt onder blackhats voordat het gefixt was.
Gefixed als gefixed... als het echt zo kwetsbaar is als het klinkt kan dit nog een gigantische flow van malware in de hand werken... mailtjes waarvan weer eens het openen genoeg is (webmail/thunderbird/etc.), online avatars :S ... en voordat iedereen de update heeft duurt nog wel een paar maanden voor het gros van de mensen (en genoeg mensen updaten hun browsers en mail clients sowieso niet veel :S jaj@chrome en firefox tegenwoordig wat dat betreft :D )
firefox update zichzelf als je het niet specifiek blokkeert of een user z'n rechten afneemt, dus dat zal geen maanden meer duren, want bij diegenen dat het is geblokkeerd is er meestal wel een deftige admin die dit soort nieuws ook leest ;)
tot je firefox ergens in een citrix omgeving gebruikt...
@Soldaatje
Dat bedrag is niet laag in mijn ogen.
Hij krijgt een maandloon gedoneerd omdat hij een melding maakt, dat vind ik toch niet laag. Het is ook niet te hoog, vind ikzelf. Dit soort bedragen mogen wel standaard worden voor goede bedoelingen.

Ditzelfde lek heb ik al meerdere malen gebruikt om mezelf te infecteren met bescherm-'malware'.
Het normale windows laat nooit toe dat ik alle programma's van windows zelf, in een sandbox draai onder andere affiniteit. Daar is wat speciale legale spyware voor nodig die ik via dit lek kon injecteren. (edit: Gewoon starten zou niet functioneel genoeg voor mij zijn, ik moest de VBS-scriptjes ook gebruiken die uiteindelijk uit een dubbel ingepakte .exe kwamen, zodat ik getimede argumenten aan de 'malware' kon doorspelen)

Dit lek staat op meerdere hacksites en is in ieder geval al in 2006 een keer gemeld toen de Al-Qaida jpg's gebruikte om malware en geheime texten uit te wisselen. Een later nieuwsbericht toonde aan dat bmp/png en jpEg ook soortgelijke fouten bevatten.
Bron: http://labnol.blogspot.co...-secret-documents-or.html

Maar serieus, dat dit nooit eerder gemeld is... als ik erbij kon had ik mezelf tegen mijn kop geschopt |:( . Ik ga gelijk even mijn oude trukendoos open plukken en kijken of er nog meer officieel niet gepatched is. }>

[Reactie gewijzigd door Yezpahr op 18 februari 2012 18:56]

Bij deze bug gaat het over een kwetsbaarheid in libpng waarmee je code kan uitvoeren, bij jouw jpeg linkje is dat niet het geval. Bedoel je niet gewoon die GDI+ bug?
Dit lek staat los van eerdere lekken omdat het een andere library betreft dus knap als jij dit specifiek probleem al in 2006 langs hebt zien komen.

Offtopic: voor een RedHat software developer zal 1337 dollar nooit een maandloon zijn. Eerder 1/3 er van. Bovendien is dat nog bruto.
Ik weet in ieder geval zeker dat Microsoft en een amerikaans security bedrijf het in die tijd hebben gemeld dat ze lekken hebben gevonden in andere afbeeldingsformaten en bepaalde DLL's die worden aangeroepen door browsers. Ze wilden deze niet verder bespreken wegens veiligheidsredenen.

Of dat lek wat ik gebruikte exact hetzelfde betreft betwijfel ik nadat je me herinnerde aan de GDI+ bug, et is ook alweer te lang geleden en ik gebruikte inderdaad het .gif ipv .png wat ik eerder zei.
Maandloon...? Ik zou maar een andere baan gaan zoeken... Zit op t dubbele netto... Vind dit wel laag. Je meldt iets wat werk is van iemand van de mensen achter de browser. Heb geen idee wat de omvang van de bug is, maar er zijn vast meerdere meldingen gemaakt en niet 1tje die dan een leet bedrag krijgt...

[Reactie gewijzigd door chimnino op 18 februari 2012 21:12]

Maar zou de melder een maand bezig geweest zijn, of 2 avondjes achter zijn computer gezeten hebben. Vind het nogal een rare discussie dat het weinig of veel is om te krijgen, je meld een bug vrijwillig en krijgt een beloning van google omdat je de 'wereld' een stukje veiliger maakt.

Ik lees b.v. nergens dat Mozilla ook een bedrag heeft geschonken aan de melder, en google hoeft dit ook niet te doen.

Onder het mom, wie het kleine niet eert is het grote niet weert?
@chimnino
Toen ik zei maandloon bedoelde ik eigenlijk mijn eigen maandinkomen, ik weet wel dat een gemiddeld loon (veel) hoger ligt dan dit...
Maar het gaat hier over 1337 US Dollar, dat is 1017 Euro. Ik mag hopen dat jij meer dan dat verdient, want het minimumloon is al meer dan Ą1400.
Loon, ja. Uitkering, nee.
Ik ben alweer 7 maand werkloos :P .
laag bedrag... nou google geeft er wel wat voor. als je die bug binnen een uurtje gevonden had dan is 1337 euro toch een aardig uurloon
Afgelopen dinsdag bezocht ik een ge´nfecteerde WordPress website (in Firefox) en kreeg ik inderdaad ineens vensters van malware/scareware (die op mijn PC ge´nstalleerd waren). Lijkt mij dus hieraan gerelateerd.
Lijkt me sterk dat dit door deze libpng lek komt, aangezien er nog geen exploits van deze theoretische mogelijkheid bekend zijn. (zie ook opmerking hierboven over een jpg lek die ook niet hier mee te maken heeft). (edit: 'geen' ipv 'een')

[Reactie gewijzigd door alfredkayser op 19 februari 2012 11:52]

Ik vraag me af wat ze met een succesvolle aanval bedoelen. Er vanuit gaande dat zowel de gebruiker als de browser als libpng-gerelateerde processen geen root-permissies hebben valt er volgens mij weinig te exploiteren. Als de gebruiker een compiler ter beschikking heeft zou hij zelf zou ook een programma kunnen schrijven dat een integer overflow veroorzaakt maar dat wil niet zeggen dat het systeem daardoor kwetsbaar is.
Volgens mij wordt dit alleen als zwakheid beschouwd omdat de Mozilla Foundation de lat zo hoog legt, wat een goeie zaak is.
Wat ik me afvraag is of dit elders ook problemen kan opleveren. De PHP GD library maakt ook gebruik van libpng. Het zelfde probleem lijkt me hier dus ook mogelijk?
In principe wel. Dit ruikt naar de oude kwetsbaarheid in gdiplus.dll (staat niet bij gerelateerde berichten):
nieuws: 'JPEG of death'-hoax na 10 jaar werkelijkheid
nieuws: Eerste echte JPEG-virus in het wild gesignaleerd

Even zoeken op libpng*.dll op je HDD (of iig je Program Files) dus - en dan maar hopen dat mensen het ding extern hebben gelaten, anders moet je nog dieper duiken om te zien wat er gevoelig voor zou kunnen zijn.

Aan de andere kant zullen virusscanners het gebruik van de exploit wel kunnen herkennen en de bestanden op die manier moeten kunnen weren nog voor een programma toegang krijgt.

[Reactie gewijzigd door Kamiquasi op 18 februari 2012 17:02]

Volgens de organisatie was een speciaal vervaardigde afbeelding voldoende voor een succesvolle aanval op gebruikers.
Ja, sommige foto's op internet zijn echt... wtf. :+
Het viel me vandaag op dat de libpng library op mijn ubuntu server ook is geupdate, heeft dit dezelfde reden?
Dat is nog eens een leuke :) 1337 dollar! Stel je bent een hacker en je bent goed bezig om lekken op te sporen en te melden, dan is 1337 natuurlijk extra leuk! Echte tweakers snappen dit wel ;)
Ik wist al van deze kwetsbaarheid, ik werk al jaren met libpng en zlib in afbeelding compressie applicaties. Ik had potverdorie 1337 dollar kunnen verdienen.
Zat de bug nou in mozilla of in libpng?
Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn.
In principe zijn alle programma's die libpng 1.2 gebruiken voor het renderen van "onbetrouwbare" PNG's (dat is in principe alles wat "van buiten" komt en wat je niet zelf hebt gemaakt) kwetsbaar.
Gelukkig zag ik vorige week al een security-update voor Debian Squeeze (=stable) langs komen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True