Gyurkity Péter

Számos böngésző sebezhető speciális PNG képekkel

Több különböző biztonsággal foglalkozó cég is felhívta a felhasználók figyelmét, hogy egy esetleges támadó speciális PNG formátumú képek segítségével könnyedén behatolhat a szörfözők számítógépeire.

A kritikus sebezhetőség - amelyre először Chris Evans független biztonsági szakértő hívta fel a figyelmet - a Linux, a Windows, valamint a Mac OS X operációs rendszert futtató számítógépeket egyaránt fenyegeti. A Portable Networks Graphics néven ismertté vált képformátum a nyílt forráskódnak és a kedvező tömörítési aránynak köszönhetően rendkívül népszerű az interneten, és eddig még egyetlen károkozó sem használta fel saját céljaira.

A hat különböző biztonsági hibát a formátumot kezelő függvénykönyvtárban fedezték fel, amely számos böngészőben - többek között a szintén nyílt forráskódú Mozillában és Firefoxban, a Apple Safari nevű böngészőjében, valamint a Microsoft-féle Internet Explorerben - és több levelező programban is megtalálható.

Evans eddig még nem tesztelte az összes említett böngészőt, így a veszély igazi jelentősége még nem ismert. Véleménye szerint a támadók a libPNG hibáin keresztül tetszőleges programkódot futtathatnak számítógépünkön, de akár a teljes irányítást is magukhoz ragadhatják. "A speciális képtől a Mozilla és a Konqueror is azonnal megfagyott" - áll Evans részletes tájékoztatójában, amely saját honlapján is megtalálható. "Ennél durvább megoldás is létezik, amennyiben a támadó emailben csatolva juttatja el a szóban forgó képeket mit sem sejtő áldozatához, akinek grafikus levelező programja szintén a hibás könyvtárat használja."

A dán Secunia csütörtökön - egyéb biztonsági cégekhez hasonlóan - "rendkívül veszélyesnek" minősítette a fenyegetést és a megfelelő frissítések mielőbbi letöltésére hívta fel a felhasználók figyelmét. A Mozilla (1.7.2) és Firefox (0.9.3) böngészők, valamint a Thunderbird (0.7.3) nevű levelező kliens frissített változatai már elérhetők a Mozilla Foundation weboldalán, míg az Apple és a Microsoft egyelőre nem reagált a bejelentésre.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • bthom #18
    Yv@n! Ezt most felejtsd el! Nem hinném, hogy érdekében állna az MS-nek, a png _normális_ kezelése! Sajnos! Viszont lehet, hogy hülyeséget mondok, de mintha ezt kilehetne kerülni valami kóddal! De nem biztos! Most utána keresek!
  • TasManXT #17
    Png Alpha channel hack
    Ez szépen működik. PNG rulez.
  • Lola. #16
    40-50k flash vagy 10 byte html tag? Hát...
  • vaddiszno #15
    hat aze van a flash h hacnajja a zemmberfia nemde?
  • CAD #14
    Az mar a te bajod... a dolog mindenesetre meg van oldva.
  • Yv@n #13
    DX filterrel rengeteg dolog megoldható,de ezt én nem nevezném PNG támogatásnak, megint ott tartunk akkor, hogy legalább két féleképpen kell megírni az oldal adott részét, ami már megint nekem plusz munka.
  • CAD #12
    Attol tartok tevedsz. Meg van oldva. Egy DX filtert kell alkalmazni...

    Amugy a png vel a problema az, hogy bar letezik szabvany, ajanlas stb., de gyakorlatilag meg pl. a ps-el sem mondhato tokeletesnek (gamma korrekcios problemak lepnek fel)...

  • [HUN]PAStheLoD #11
    #8 7.54-et már biztosan nem :)
  • Yv@n #10
    Elég szomorú egyébként mert kultúráltabb ilyen téren mint a gif, az átlátszó átmeneteknél például nem jelentene problémát egy teljesen más háttérszín használata, nem kellene rá új képet gyártani, de MSék így döntöttek, hogy nem támogatják...remélem köv explorer, vagy sp2es upgrade ezen dob valamit.
  • Yv@n #9
    :D