Bildbetrachter: Plugin für Irfanview mit Sicherheitslücke

Ein offizielles Plugin für den Bildbetrachter Irfanview weist eine kritische Lücke auf, mit der beim Öffnen von Bildern im Format Flashpix Schadcode eingeschleust werden kann. Abhilfe schafft eine neue Version des Plugins.

Artikel veröffentlicht am ,
Das Programmfenster von Irfanview
Das Programmfenster von Irfanview (Bild: Screenshot: Golem.de)

Das letzte komplette Plugin-Paket, Version 4.33, des Bildbetrachters Irfanview enthält ein Modul mit einer gefährlichen Sicherheitslücke. Das betroffene Plugin dient zum Betrachten von Bildern im Format Flashpix. Wird damit ein präpariertes Flashpix-Bild geöffnet, dann kann beliebiger Schadcode ausgeführt werden. Auf die Lücke hatte der Sicherheitsforscher Francis Provencher über Secunia hingewiesen, das nun auch darüber berichtet.

Stellenmarkt
  1. Trainee (m/w/d)
    VOLTARIS GmbH, Maxdorf
  2. IT-Administrator/IT-Systemen- gineer (m/w/d)
    Step Computer- und Datentechnik GmbH, Lörrach
Detailsuche

Das geschieht, weil die Lücke zwar schon geschlossen wurde, Provencher aber auch Beispielcode für Exploits veröffentlicht hatte. Alle Anwender von Irfanview, die auch das Plugin-Paket installiert haben, sollten folglich die neue Version 4.34 des Flashpix-Plugins installieren. Bisher gibt es keine vollständig neue Version des Plugin-Pakets, die Version 4.33 ist weiterhin aktuell - nur das Flashpix-Modul in Version 4.34 sollte man danach installieren und vorher keine Bilder in diesem Format öffnen.

Der Macher von Irfanview bietet mit dem offiziellen Plugin-Paket stets geprüfte Erweiterungen an, die Funktionen wie Filter oder neue Dateiformate nachrüsten. Dieser modulare Ansatz sorgt dafür, dass seltener komplett neue Versionen des Hauptprogramms installiert werden müssen und die Anwender weitere Plugins noch selbst installieren können. Diesmal hat aber offenbar die Kontrolle nicht richtig funktioniert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
KenFM
Ken Jebsen von Anonymous gehackt

Die Aktivisten von Anonymous haben die Website des Verschwörungstheoretikers Ken Jebsen gehackt und offenbar Infos zu Spendern erbeutet.

KenFM: Ken Jebsen von Anonymous gehackt
Artikel
  1. Elon Musk: Tesla akzeptiert Bitcoin bei besserer Umweltbilanz wieder
    Elon Musk
    Tesla akzeptiert Bitcoin bei besserer Umweltbilanz wieder

    Tesla will Bitcoin erst wieder akzeptieren, wenn dieser mit mehr erneuerbarer Energie geschürft wird. Auch auf Kursschwankungen ging Musk ein.

  2. Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
    Telefon- und Internetanbieter
    Was tun bei falschen Auftragsbestätigungen?

    Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
    Von Harald Büring

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

CharlieB 17. Apr 2012

XnView gibt es auch für Windows und IrfanView läuft unter Wine. Aber nichts schlägt...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate: Bis zu 30% auf PC-Hardware, TV, Werkzeug uvm. • Rainbow Six Extraction Limited PS5 69,99€ • Snakebyte Gaming Seat Evo 149,99€ • LG OLED65CX9LA 120Hz 1.584€ [Werbung]
    •  /