Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 9.8.2004

PNG-kuvaformaatissa tietoturvareikiä

Avoimen lähdekoodin PNG-kuvaformaatista on löytynyt kuusi haavoittuvuutta. Itse PNG ei ole viallinen, vaan viat piilevät useiden järjestelmien tukemassa libpng-toteutuksessa, jonka avulla PNG-formaattia tulkitsevat mm. Mozilla, IE ja Opera. Tietoturvatutkija Chris Evansin löytämät haavoittuvuudet mahdollistavat käyttäjän tietokoneen kaappaamisen verkon yli. Haavoittuvuuksien hyödyntäminen on mahdollista kaikissa järjestelmissä, jotka käyttävät libpng-kirjastoa. Näin ollen ongelmat eivät rajoitu vain yhteen käyttöjärjestelmään tai sovellukseen.

Vakavin haavoittuvuuksista on ns. puskurin ylivuototilanne, jota hyödyntävä PNG-kuvatiedosto voi sisältää kuvan lisäksi ylimääräistä koodia ja käynnistää muita sovelluksia. Esimerkiksi PNG-tiedostot näyttävät sähköpostisovellukset ovat hyökkääjille otollinen kohde.

Mozilla- ja Firefox-selaimia sekä Thunderbird-sähköpostisovellusta kehittävä Mozilla Foundation julkaisi korjauspäivitykset ohjelmistoihinsa jo viime keskiviikkona, kun tieto haavoittuvuudesta tuli julki. Microsoftin edustaja puolestaan totesi yhtiön tutkivan asiaa. Apple ei toistaiseksi ole kommentoinut PNG-haavoittuvuutta lainkaan.

Lue juttu K2, 9.8.2004 01:12. Lähde: ZDNet

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 43 uutta / 43 )
pistettä.
Näytä vain kommentit joilla on vähintään
libpng, ei PNG formaattina
Anonyymi kommentoija, 9.8.2004 01:32:29		 Pisteet: 0
Siis huomioidaanhan nyt se, että tässä on kyseessä vain libpng:n aukoista, eli yhdestä (laajalle levinneestä tosin) toteutuksesta. Itse PNG kuvaformaatissa ei siis ole mitään virheitä. Minusta aika oleellinen ero.
Re: libpng, ei PNG formaattina
Anonyymi kommentoija, 9.8.2004 01:56:24		 Pisteet: 0
Siis huomioidaanhan nyt se, että tässä on kyseessä vain libpng:n aukoista, eli yhdestä (laajalle levinneestä tosin) toteutuksesta. Itse PNG kuvaformaatissa ei siis ole mitään virheitä. Minusta aika oleellinen ero.
Hmmm, no yleisiä muita PNG:tä käyttäviä kirjastoja ei taida paljon olla? Onko missään toteutettu PNG:n purkua millään muulla tavalla? Sama kysymys jpegistä.

Huvittavaa muuten että PNG on nimetty: "open-source image format".
daddymac Re: libpng, ei PNG formaattina
daddymac, 9.8.2004 09:36:36		 Pisteet: 0
Siis huomioidaanhan nyt se, että tässä on kyseessä vain libpng:n aukoista, eli yhdestä (laajalle levinneestä tosin) toteutuksesta. Itse PNG kuvaformaatissa ei siis ole mitään virheitä. Minusta aika oleellinen ero.
Hmmm, no yleisiä muita PNG:tä käyttäviä kirjastoja ei taida paljon olla? Onko missään toteutettu PNG:n purkua millään muulla tavalla? Sama kysymys jpegistä.
Esim. IE käyttää muuta kuin libpng:tä. Tämä aiheuttaa mm. sen että PNG:n alpha-blendit eivät toimi IE:ssä. Eli onhan noita muitakin kuin libpng. edelleenkin, vika ei ole itse _kuvaformaatissa_: samaa tietoturva-aukkoa ei ole IE:ssä, joka ymmärtää viallisen PNG:n jonain muuna kuin kuvatiedostona ja yrittää tallentaa sen koneelle.

</antti>
Re: libpng, ei PNG formaattina
Anonyymi kommentoija, 9.8.2004 15:27:02		 Pisteet: 0
Esim. IE käyttää muuta kuin libpng:tä. Tämä aiheuttaa mm. sen että PNG:n alpha-blendit eivät toimi IE:ssä. Eli onhan noita muitakin kuin libpng. edelleenkin, vika ei ole itse _kuvaformaatissa_: samaa tietoturva-aukkoa ei ole IE:ssä, joka ymmärtää viallisen PNG:n jonain muuna kuin kuvatiedostona ja yrittää tallentaa sen koneelle.
Ainakaan 6.0 ei yritä kyllä tallentaa, näyttää vain X-kuvaa että 'rikki on, sori'
Re: libpng, ei PNG formaattina
K2, 9.8.2004 01:42:41		 Pisteet: 0
Siis huomioidaanhan nyt se, että tässä on kyseessä vain libpng:n aukoista, eli yhdestä (laajalle levinneestä tosin) toteutuksesta. Itse PNG kuvaformaatissa ei siis ole mitään virheitä. Minusta aika oleellinen ero.
Kyllä. Asian selittäminen niin, että normaali kansalainen tajuaa, mistä on kyse, ei vaan olekaan kovin yksioikoista. Yritin nyt hieman "pätsätä" tuota uutista niin, että se olisi parempi.
Re: libpng, ei PNG formaattina
Anonyymi kommentoija, 9.8.2004 09:06:42		 Pisteet: 0
Kyllä. Asian selittäminen niin, että normaali kansalainen tajuaa, mistä on kyse, ei vaan olekaan kovin yksioikoista.
Lukevatko normaalit kansalaiset muka Sektoria? Mielestäni täällä voisi jo olettaa ihmisillä olevan jonkinverran pohjatietoutta ja jos ei ole, niin sitä vartenhan meillä on hieno anonyymi-kommentointi jotta jokainen voi esittää tyhmiä kysymyksiä joutumatta naurunalaiseksi.
Re: libpng, ei PNG formaattina
Anonyymi kommentoija, 9.8.2004 15:25:35		 Pisteet: 0
Kyllä. Asian selittäminen niin, että normaali kansalainen tajuaa, mistä on kyse, ei vaan olekaan kovin yksioikoista.
Lukevatko normaalit kansalaiset muka Sektoria? Mielestäni täällä voisi jo olettaa ihmisillä olevan jonkinverran pohjatietoutta ja jos ei ole, niin sitä vartenhan meillä on hieno anonyymi-kommentointi jotta jokainen voi esittää tyhmiä kysymyksiä joutumatta naurunalaiseksi.
Etkö ole huomannut että mm. K2 pitää lukijoitaan tyhminä. Lue hänen kommenttiaan ja päättele siitä.

"Muuntelin uutista" että te tyhmät lukijat tajuaisitte siitä jotain..
Re: libpng, ei PNG formaattina
Anonyymi kommentoija, 9.8.2004 15:23:39		 Pisteet: 0
Siis huomioidaanhan nyt se, että tässä on kyseessä vain libpng:n aukoista, eli yhdestä (laajalle levinneestä tosin) toteutuksesta. Itse PNG kuvaformaatissa ei siis ole mitään virheitä. Minusta aika oleellinen ero.
Kyllä. Asian selittäminen niin, että normaali kansalainen tajuaa, mistä on kyse, ei vaan olekaan kovin yksioikoista. Yritin nyt hieman "pätsätä" tuota uutista niin, että se olisi parempi.
Vääristelet asiaa, täysin väärä lähestyminen uutiseen!
Saltsa Re: libpng, ei PNG formaattina
Saltsa, 9.8.2004 17:13:41		 Pisteet: 0
Kyllä. Asian selittäminen niin, että normaali kansalainen tajuaa, mistä on kyse, ei vaan olekaan kovin yksioikoista. Yritin nyt hieman "pätsätä" tuota uutista niin, että se olisi parempi.
Joo, mutta otsikosta saa nyt TÄYSIN virheellisen kuvan. Parempi olisi tyyliin "Laajalle levinneessä png-kirjastossa vakava tietoturvareikä". Tuosta otsikosta todellakin saa käsityksen, että se formaatti pissii.
virus
Anonyymi kommentoija, 9.8.2004 03:26:23		 Pisteet: 0
Onko nyt sellainen virus mahdollinen joka leviää kaikilla alustoilla?
daimoni Re: virus
daimoni, 9.8.2004 06:11:09		 Pisteet: 0
Onko nyt sellainen virus mahdollinen joka leviää kaikilla alustoilla?
Eipä oikeastaan ellei scriptikieliin mennä.
Aukko on paikattu kuitenkin viikkoja sitten jo. Tähdennykseksi että aukko koskee myös IE:tä ennen SP2- päivitystä.

Testikuva:
http://scary.beasts.org/misc/pngtest_bad.png

Tuon olisi vissiin tarkoitus kaataa selain mikäli se on haavoittuvainen. Testatkaapa sillä. (En itse voi kuvan viallisuutta varmentaa koska asensin päivityksen pari viikkoa sitten, ei tee mitään tuo)
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Re: virus
Anonyymi kommentoija, 9.8.2004 06:13:40		 Pisteet: 0
Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
Tuon olisi vissiin tarkoitus kaataa selain mikäli se on haavoittuvainen. Testatkaapa sillä. (En itse voi kuvan viallisuutta varmentaa koska asensin päivityksen pari viikkoa sitten, ei tee mitään tuo)
Opera 7.50 (win2k) tulee nätisti alas.
Re: virus
Anonyymi kommentoija, 9.8.2004 09:17:08		 Pisteet: 0
http://scary.beasts.org/misc/pngtest_bad.png
Opera 7.50 (win2k) tulee nätisti alas.
Opera 7.53 win2k kaatuu
mnice Re: virus
mnice, 9.8.2004 07:14:57		 Pisteet: 0
Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
Tuon olisi vissiin tarkoitus kaataa selain mikäli se on haavoittuvainen. Testatkaapa sillä. (En itse voi kuvan viallisuutta varmentaa koska asensin päivityksen pari viikkoa sitten, ei tee mitään tuo)
Opera 7.50 (win2k) tulee nätisti alas.
W2KS + Firefox 0.92 heittää nurin mutta IE 6 (SP1) toimii kyl...
janilxx Re: virus
janilxx, 9.8.2004 07:29:07		 Pisteet: 0
W2KS + Firefox 0.92 heittää nurin mutta IE 6 (SP1) toimii kyl...
Firefoxiin tuli tämä ja muistaaksnei pari muutakin tietoturvapäivitystä 0.93:een.
Re: virus
Anonyymi kommentoija, 9.8.2004 06:40:37		 Pisteet: 0
Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
Tuon olisi vissiin tarkoitus kaataa selain mikäli se on haavoittuvainen. Testatkaapa sillä. (En itse voi kuvan viallisuutta varmentaa koska asensin päivityksen pari viikkoa sitten, ei tee mitään tuo)
Mozillani kaatuu tuosta nätisti vaikka on apt-get update ja apt-get upgrade tehty joka päivitteli neljä libpng:n liittyvää...
Re: virus
Anonyymi kommentoija, 9.8.2004 07:25:50		 Pisteet: 0
Mozillani kaatuu tuosta nätisti vaikka on apt-get update ja apt-get upgrade tehty joka päivitteli neljä libpng:n liittyvää...
Mozilla/Firefox käsittääkseni sisältää oman version ko. libistä ja tarvitsee erillisen päivityksen.
Firefox/0.9.3 ja 'The image http://scary.beasts.org/misc/pngtest_bad.png cannot be displayed, because it contains errors.'
Re: virus
Anonyymi kommentoija, 9.8.2004 11:28:36		 Pisteet: 0
Mozilla/Firefox käsittääkseni sisältää oman version ko. libistä ja tarvitsee erillisen päivityksen.
Aaahaps... pitääpä pistää tuokin ja testata.
apt-get update:n ihanuus pissi jälleen linssiin...
feenix Re: virus
feenix, 9.8.2004 23:42:00		 Pisteet: 0
Aaahaps... pitääpä pistää tuokin ja testata. apt-get update:n ihanuus pissi jälleen linssiin...
Ennemminkin se fakta, että monet softat tehdään tyhmästi ja saadaan aikaiseksi juuri tällaisia tilanteita. Miksi on keksitty jaetut kirjastot jos niitä ei voida kaikkialla käyttää? Ja tuudittaudutaan sitten siihen turvallisuuden tunteeseen, että kaikki on ookoo kun se kirjasto päivittyy :P
Re: virus
Anonyymi kommentoija, 10.8.2004 23:22:47		 Pisteet: 0
Ennemminkin se fakta, että monet softat tehdään tyhmästi ja saadaan aikaiseksi juuri tällaisia tilanteita. Miksi on keksitty jaetut kirjastot jos niitä ei voida kaikkialla käyttää? Ja tuudittaudutaan sitten siihen turvallisuuden tunteeseen, että kaikki on ookoo kun se kirjasto päivittyy :P
bah, kyllä jokainen flanellipaita partahemmo tajusi että käyttäjä on tyhmä eikä softa.
daimoni Re: virus
daimoni, 9.8.2004 07:39:47		 Pisteet: 0
Mozillani kaatuu tuosta nätisti vaikka on apt-get update ja apt-get upgrade tehty joka päivitteli neljä libpng:n liittyvää...
Kannattaa suosiolla käyttää virallisia buildeja mozilla.orgista. Debian ei tähän päivään mennessä ole pystynyt pakkaamaan & päivittämään softiaan alkuperäiselle tasolle.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Re: virus
Anonyymi kommentoija, 9.8.2004 11:27:49		 Pisteet: 0
Mozillani kaatuu tuosta nätisti vaikka on apt-get update ja apt-get upgrade tehty joka päivitteli neljä libpng:n liittyvää...
Kannattaa suosiolla käyttää virallisia buildeja mozilla.orgista. Debian ei tähän päivään mennessä ole pystynyt pakkaamaan & päivittämään softiaan alkuperäiselle tasolle.
Voi olla. Käytän kuitenkin Fedora Core 1:stä.
Re: virus
Anonyymi kommentoija, 10.8.2004 15:38:54		 Pisteet: 0

Kannattaa suosiolla käyttää virallisia buildeja mozilla.orgista. Debian ei tähän päivään mennessä ole pystynyt pakkaamaan & päivittämään softiaan alkuperäiselle tasolle.
Näyttää ainakin nyt olevan 1.7.2 unstablessa.
Re: virus
Anonyymi kommentoija, 9.8.2004 08:13:50		 Pisteet: 0
http://scary.beasts.org/misc/pngtest_bad.png
Kaataapa nätisti Mac OS X 10.3.4 Safari selaimen. IE kysyy että mitä tehdään -> tallennetaanko, avataanko vai onko joku plug-in.
Re: virus
Anonyymi kommentoija, 9.8.2004 08:45:17		 Pisteet: 0
Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
Konqueror 3.1.4 kaatuu nätisti. libpng päivitetty viime viikolla, mutta KDE:tä ei restartattu. Uudelleen kirjautumisessa otetaan vasta uudet kirjastot käyttöön, jonka jälkeen Konqueror pysyy pystyssä.
Re: virus
Anonyymi kommentoija, 9.8.2004 08:56:51		 Pisteet: 0

Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
mozilla 1.7.2, tuli ilmoitus:
The image http://scary.beasts.org/misc/pngtest_bad.png cannot be displayed, because it contains errors.
Re: virus
Anonyymi kommentoija, 9.8.2004 10:03:10		 Pisteet: 0
Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
Tuon olisi vissiin tarkoitus kaataa selain mikäli se on haavoittuvainen. Testatkaapa sillä. (En itse voi kuvan viallisuutta varmentaa koska asensin päivityksen pari viikkoa sitten, ei tee mitään tuo)
Kaataa myös Opera 7.54:n, mutta ei ilmeisesti mahdollista mitään "exploittia":
http://my.opera.com/forums/showthread.php?s=&t...
Re: virus
Anonyymi kommentoija, 9.8.2004 11:27:43		 Pisteet: 0
Testikuva: http://scary.beasts.org/misc/pngtest_bad.png
Tuon olisi vissiin tarkoitus kaataa selain mikäli se on haavoittuvainen. Testatkaapa sillä. (En itse voi kuvan viallisuutta varmentaa koska asensin päivityksen pari viikkoa sitten, ei tee mitään tuo)
Tulikettu 0.9.1 napsahti nurin => päivitys 0.9.3 ja tuli vain se virheilmoitus.
Re: virus
Anonyymi kommentoija, 9.8.2004 14:51:49		 Pisteet: 0
Aukko on paikattu kuitenkin viikkoja sitten jo. Tähdennykseksi että aukko koskee myös IE:tä ennen SP2- päivitystä. Testikuva:
http://scary.beasts.org/misc/pngtest_bad.png
IE 6.0 (xp sp1, uusimmat updatet) ei kaadu, näyttää Xää kuvan tilalla
Avantbrowser ei myöskään ole moksiskaan kun käyttää IEtä rendausenginenään.
Re: virus
Anonyymi kommentoija, 9.8.2004 15:46:50		 Pisteet: 0
http://scary.beasts.org/misc/pngtest_bad.png
Paint Shop Pro 6.00 (Win95) ei kaadu :-)
Mitenkähän muut kuvankäsittely ohjelmat?
Re: virus
Anonyymi kommentoija, 9.8.2004 15:54:30		 Pisteet: 0
ähdennykseksi että aukko koskee myös IE:tä ennen SP2- päivitystä.
Ei koske!
Linuxin päivitys
Anonyymi kommentoija, 9.8.2004 05:48:21		 Pisteet: 0
Ajoin Debian apt-get upgrade:n ja siellä näytti olevan uudempi versio libpng:stä, jonka asennuksen kuittasin enterillä. Riittääkö tämä vain pitääkö alkaa vielä selaimia päivittelemään?
Re: Linuxin päivitys
Anonyymi kommentoija, 10.8.2004 00:30:01		 Pisteet: 0
Ajoin Debian apt-get upgrade:n ja siellä näytti olevan uudempi versio libpng:stä, jonka asennuksen kuittasin enterillä. Riittääkö tämä vain pitääkö alkaa vielä selaimia päivittelemään?
Selaimissa, Mozillassa ja Firefoxissa on ainakin oma libpng mukana lähdekoodissa. Riippuen mistä ole asentanut, voit joutua päivittelemään. Distron valmistajalta pitäisi tulla päivitykset jos selain on sieltä.
daimoni Re: Linuxin päivitys
daimoni, 9.8.2004 06:04:08		 Pisteet: 0
Ajoin Debian apt-get upgrade:n ja siellä näytti olevan uudempi versio libpng:stä, jonka asennuksen kuittasin enterillä. Riittääkö tämä vain pitääkö alkaa vielä selaimia päivittelemään?
Se riittää.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Varoitus
Anonyymi kommentoija, 9.8.2004 09:21:45		 Pisteet: +1
Pelkän kirjaston päivittämällä ei kannata tuudittautua turvallisuudentunteeseen, sillä monet sovellukset sisältävät mukana oman version libpng:stä, joko lähdekoodin mukana tai sitten linkittämällä staattisesti, jolloin sovellus pitää kääntää uudestaan!
Series 60 kupsahtaa nätisti
Anonyymi kommentoija, 9.8.2004 18:52:53		 Pisteet: 0
Services/Web selain 7610:ssä tuntuu kaatuvan nätisti USER 49:iin. Milloinkohan Nokialta saadaan päivitykset tähän ongelmaan?
Re: Series 60 kupsahtaa nätisti
Anonyymi kommentoija, 9.8.2004 19:05:58		 Pisteet: 0
Services/Web selain 7610:ssä tuntuu kaatuvan nätisti USER 49:iin. Milloinkohan Nokialta saadaan päivitykset tähän ongelmaan?
Hitto vieköön, tuohan mahdollistaisi MMS viruksen!
Re: Series 60 kupsahtaa nätisti
Anonyymi kommentoija, 10.8.2004 07:01:49		 Pisteet: 0

Hitto vieköön, tuohan mahdollistaisi MMS viruksen!

No ei ny sentaan User 49 "This panic is raised by the heap walker when it finds a bad free heap cell address.", eli OS huomaa et puskuri on vuotanu yli ja kaataa softan hallistusti alas.

Anonyymi kommentoija, 10.8.2004 01:19:46		 Pisteet: 0
Apple ei toistaiseksi ole kommentoinut PNG-haavoittuvuutta lainkaan.
Päivitys tuli samana päivänä kuin tämä uutinen tänne...