Drei Schwachstellen in GTK+, dem freien GIMP-Toolkit zur Programmierung grafischer Oberflächen, gefährden die Sicherheit von PCs. Ein Angreifer kann über manipulierte Bilder im XPM-Format Schadcode einschleusen und mit den Rechten des Anwenders ausführen oder die Applikation zum Absturz bringen. Dazu reicht bereits das Öffnen eines Bildes mit einem Programm, das GTK+ verwendet.
Die Fehler finden sich allesamt in der Bibliothek gdk-pixbuf im Modul io-xpm.c zur Verarbeitung von Bildern im XPM-Format und beruhen auf Integer und Heap Overflows. Unter anderem genügt, es die width-, height- und colors-Parameter in einem Bild zu manipulieren, um die Fehler zu provozieren.
Der Linux-Distributor Red Hat gibt bereits neue Pakete für GTK2 und gdk-pixbuf heraus, in denen die kritischen Fehler ausgebügelt sind. Auch für Fedora stehen aktualisierte Bibliotheken bereit. Die anderen Distributoren dürften in Kürze folgen.
Siehe dazu auch:
* gdk-pixbuf security update, Meldung von Red Hat
* gtk2 security update, Meldung von Red Hat
* Multiple Vendor GTK+ gdk-pixbuf XPM Loader Heap Overflow Vulnerability, Fehlerreport von iDefense
Quelle und Links :
http://www.heise.de/newsticker/meldung/66226
