Sicherheitslücke in GTK+

9. Dezember 2005, 13:56
6 Postings

Mittels manipulierter Bilder können Anwendungen zum Absturz gebracht und Code eingeschleust werden

Eine Sicherheitslücke im Grafik-Toolkit GTK+ vermeldet der Sicherheitsdienstleister iDefense: Mittels eines manipulierten Bilds können AngreiferInnen GTK+-Anwendung zum Absturz bringen und anschließend Code einschleusen, sowie diesen mit Rechten der jeweiligen BenutzerInnen auszuführen .

Bibliothek

Konkret findet sich das Problem in der gdk-pixbuf-Bibliothek, es reicht für einen solchen Absturz aus bei Bildern im XPM-Format die Abmaße zu manipulieren. Von dem Problem betroffen sind alle aktuellen GTK+-Versionen bis 2.8.6, das eben erschienene GTK+ 2.8.7 enthält die Lücke hingegen nicht mehr.

Aktualisierung

Die meisten Linux-Distributoren stellen bereits aktualisierte Pakete für GTK+ zur Verfügung, bei denen das Problem behoben wurde. (red)

Share if you care.