Original-URL des Artikels: https://www.golem.de/0511/41667.html    Veröffentlicht: 16.11.2005 11:18    Kurz-URL: https://glm.io/41667

Fehler in GTK+ führt zu Pufferüberlauf

Red Hat bietet schon Patches

Drei Sicherheitslücken im Grafik-Toolkit GTK+ können zu einem Pufferüberlauf führen. Dazu genügt es, den Anwender zum Öffnen eines manipulierten XPM-Bildes in einem Programm, das GTK+ benutzt, zu bringen. Auch fremder Programmcode lässt sich so ausführen.

Laut der IT-Sicherheitsfirma iDefense stecken die Fehler in der GdkPixBuf-Bibliothek, die für das Rendern der Bilder zuständig ist. Um die Fehler auszunutzen, genügt es, bestimmte Parameter im Bild zu manipulieren.

Öffnet man das Bild mit einem Programm, das auf GTK+ basiert, wird ein Heap Overflow ausgelöst, der die Applikation zum Absturz bringt. Zusätzlich ist es möglich, beliebigen Programmcode mit den Rechten des jeweiligen Benutzers auszuführen. Da die betroffene Bibliothek in vielen Anwendungen eingesetzt wird, kann die Sicherheitslücke sowohl lokal als auch über ein Netzwerk ausgenutzt werden.

Nach Angaben von iDefense existieren die Sicherheitslücken nicht nur in den Paketen diverser Linux-Distributoren, sondern tauchen auch bei einer selbstkompilierten Version auf. Der Linux-Distributor Red Hat hat bereits reagiert und stellt Updates für die Pakete gdk-pixpuf und GTK2 bereit. Patches der anderen Distributoren sollten folgen.  (js)


Verwandte Artikel:
GTK+ 2.8 nutzt Cairo   
(15.08.2005, https://glm.io/39847 )
Linux-Desktop: Gnome 3.24 erscheint mit Nachtmodus   
(23.03.2017, https://glm.io/126889 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Android: Patch für Pixel-Smartphones schließt Krack-Lücke   
(05.12.2017, https://glm.io/131485 )
Security: Kopierschutz von Microsofts UWP ist nicht mehr unknackbar   
(16.02.2018, https://glm.io/132816 )

Links zum Artikel:
GTK (.org): http://www.gtk.org

© 1997–2020 Golem.de, https://www.golem.de/