Vulnérabilité via des formats d'images : Windows - GNU/Linux

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes : aucune
0
24
sept.
2004
Sécurité
Coup sur coup deux annonces assez similaires sont sorties sur les deux systèmes.

Pour Windows, c'est la bibliothèque Graphic Device Interface Plus (ou GDI+) qui est en cause. Il est en théorie possible de compromettre un système vulnérable à la seule lecture d'une image piégée au format JPEG.
À ce jour les premiers exploits commencent à sortir, cela va du plantage de la machine à l'ouverture d'un interpréteur de commande.
Les patchs étant disponibles, il est fortement conseillé de faire les mises à jour.

Pour GNU/Linux, le hasard a voulu que des vulnérabilités similaires soient publiées ces derniers jours. Elles concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Les vulnérabilités sont décrites dans la suite de l'article.

Les correctifs sont normalement disponibles pour la plupart des distributions. Note : j'ai préféré parler des deux vulnérabilités même si la partie Windows n'a rien à faire ici, mais je voulais éviter les trolls en montrant que les deux systèmes ont leurs faiblesses.

Les vulnérabilités sont les suivantes :

1) Une variante d'une vulnérabilité récemment révélée dans Qt existe dans la fonctionnalité de traitement d'image BMP. Ceci peut être exploité pour faire faire une boucle infinie à une application affectée quand une image spéciale en BMP est traitée.

2) Une erreur de validation en entrée de la fonction "pixbuf_create_from_xpm()" lorsqu'elle décode des images XPM, peut être exploitée pour causer un débordement de nombre entier. L'exploitation réussie peut avoir comme conséquence un débordement de tampon, qui permet potentiellement l'exécution de code arbitraire.

3) Une erreur dans la fonction "xpm_extract_color()" lorsqu'elle décode des images XPM, peut être exploitée pour causer un débordement de tampon. L'exploitation réussie peut permettre l'exécution de code arbitraire.

4) Une erreur de validation d'entrée dans la fonctionnalité de décodage d'image d'ICO peut-être exploitée pour causer un débordement de nombre entier quand une image particulière d'ICO est traitée.

Aller plus loin

  • # Enfin une occasion en or ...

    Posté par  (site web personnel) . Évalué à 5.

    ... Enfin une occasion en or dis-je donc, de tester le temps de réactivité relatif des différents composants en opposition dans le petit monde du logiciel ...

    qui sera le premier à fournir patchs et correctifs ? ;)

  • # Et la famille Mozilla ?

    Posté par  (site web personnel) . Évalué à 5.

    Du fait que Mozilla est en gtk sous Linux, ce bug peut-il être présent dans Mozilla ou aucun risque ?

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Re: Et la famille Mozilla ?

      Posté par  . Évalué à 6.

      Je suis pas du tout spécialiste, donc je ne jurerai pas, mais apparement non:

            apt-rdepends -r libgdk-pixbuf2 | grep mozilla

      Par contre galeon oui, et quasi toutes les applis Gnome.

      • [^] # Re: Et la famille Mozilla ?

        Posté par  (Mastodon) . Évalué à 9.

        Si Gecko n'utilise pas GdkPixbuf, alors certes Galeon est sensible à la faille, mais pas de manière très dangereuse, puisque tout ce qui vient du Web est rendu par Gecko (sauf les icônes de sites affichés dans les onglets et la barre d'adresse). GdkPixbuf est utilisé pour rendre l'interface, donc les risques viennent essentiellement de l'intallation de thèmes non sûrs... je suppose.

  • # Problemes similaires code similiaire?

    Posté par  . Évalué à -7.

    Est ce les même problemes, le code open ce retrouverait il dans le closed code?

    Comment l'industrie du libre et du proprio pourraient ils faire la même erreur?

    C'est seulement une question.

    • [^] # Re: Problemes similaires code similiaire?

      Posté par  . Évalué à 6.

      Si tu lisais un minimum l'article tu verrais que les failles sont pour l'une dans le decodage JPEG, et pour l'autre dans le decodage XPM...

    • [^] # Re: Problemes similaires code similiaire?

      Posté par  . Évalué à 10.

      Non, les problèmes se ressemblent par leur localisation (les fonctions de décodage de formats de fichiers d'image) et le hasard a voulu qu'ils soient découverts dans le même intervalle de temps, mais ils n'ont strictement rien à voir.

      Pour windows, il s'agit d'une faille dans le décodage du format de fichiers d'images JPEG.

      Pour GNU/Linux, c'est très bien expliqué dans la dépêche... Cela concerne les formats BMP, les XPM et les ICO.

      Ces problèmes se situent dans des bibliothèques très spécialisées des systèmes manipulant directement les données brutes extraites des fichiers. Ce type de code étant spécifique au format de fichier (sauf dans des cas ou des formats se ressemblent / font appel aux mêmes algorithmes, mais là ce n'est pas le cas, sauf pour les BMP/ICO), ton hypothèse ne tient pas.

  • # Y en a d'autres...

    Posté par  . Évalué à 8.

    C'est à la mode ce genre de faille décidément, les librairies imlib et imlib2 ont aussi été récemment touchées (resp. 16 et 22 septembre) par une faille basée sur le code de chargement des fichiers BMP.

    Réf. :
    http://www.debian.org/security/2004/dsa-548(...)
    http://www.debian.org/security/2004/dsa-552(...)

    J'imagine que la faille découverte dans QT a du donner envie à pas mal de monde de vérifier son petit code de chargement de BMP. Je sais pas si c'est le même problème à chaque fois, mais ça fait quand même peur.

    A croire que tout le monde code de la même manière (càd mal, dans le cas présent) ou alors que le code était tellement bien (sic!) qu'il s'est retrouvé dans 4 librairies ? :)

  • # Typo

    Posté par  (site web personnel) . Évalué à 1.

    ElleS concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.