Abo
  • Services:
Anzeige

Sicherheitslücke in Photoshop und After Effects

Hohe Gefahr für Nutzer von Photoshop Album Starter

In den Adobe-Applikationen Photoshop CS3, After Effects CS3 sowie Photoshop Album Starter wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Programmcode ausführen können, um ein fremdes System unter ihre Kontrolle zu bringen. Dazu muss ein Opfer nur zum Öffnen einer präparierten BMP-Datei verleitet werden, bei Photoshop Album Starter ist nicht einmal dies erforderlich.

Wie Scott Laurie berichtet, wird das Sicherheitsleck dadurch ausgelöst, weil die Header-Daten von BMP-Dateien nicht korrekt geprüft werden. Im Fall von Photoshop CS3 sowie After Effects CS3 für die Windows-Plattform muss ein Angreifer sein Opfer dazu verleiten, eine entsprechend manipulierte BMP-Datei mit den beiden Applikationen zu öffnen. Die gleiche Angriffsmöglichkeit ist auch bei Photoshop Album Starter möglich.

Anzeige

Da Photoshop Album Starter automatisch angesteckte Wechseldatenträger oder auch den Speicher angeschlossener Digitalkameras einliest und Bilddaten in der Software öffnet, muss das Opfer nicht einmal selbst eine entsprechende BMP-Datei öffnen, weil die Software das übernimmt. Hierbei soll nach Aussage von Scott Laurie auch ein gesetzter Kennwortschutz umgangen werden. Falls also der laufende Rechner per Passwort geschützt ist, werden die betreffenden Bilddateien trotzdem eingelesen.

Adobe hat in Photoshop Album Starter 3.2 ein Sicherheitsleck gemeldet, mit dem sich Schadcode mittels BMP-Datei einschleusen lässt. Ob es sich dabei um die gleiche Sicherheitslücke handelt, ist derzeit nicht bekannt. Möglicherweise wird ein weiteres Sicherheitsloch beschrieben, denn der betreffende Fehler soll in Photoshop CS3 bereits korrigiert sein. Adobe machte keine Angaben dazu, wann ein Update für Photoshop Album Starter erscheinen wird.


eye home zur Startseite
THE Ritter 23. Apr 2008

NIX - aber wie soll das ein Windoof-User verstehen? Apple und Adobe haben beide "A...e...



Anzeige

Stellenmarkt
  1. Haufe Group, Freiburg im Breisgau
  2. Ratbacher GmbH, Görlitz
  3. SysTec Systemtechnik und Industrieautomation GmbH, Bergheim-Glessen
  4. Gebr. Heller Maschinenfabrik GmbH, Nürtingen


Anzeige
Top-Angebote
  1. (u. a. Monster Hunter 4 Ultimate 3DS 14,99€)
  2. 139,99€/149,99€ (Preisgarantie)
  3. 799€ (Vergleichspreis ca. 1.090€)

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Re: Wird doch nix

    Mr Miyagi | 02:23

  2. Re: Das ist nicht die Aufgabe des Staates

    Libertybell | 02:15

  3. Re: Standard-Nutzername lautet pi

    Teebecher | 02:04

  4. Re: Technische Details

    Gandalf2210 | 01:24

  5. Re: Bei einer Neuinstallation...

    Teebecher | 01:22


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel