Nieuwe veiligheidsproblemen in PNG-library ontdekt

C|Net meldt dat zes fouten met betrekking tot het Portable Network Graphics-formaat (PNG) ervoor kunnen zorgen dat kwaadwilligen toegang krijgen tot Linux-, Apple- en Windows-computers. Het meest kritieke probleem bestaat uit een buffer overflow waardoor kwaadaardige code uitgevoerd kan worden wanneer het plaatje geladen wordt. Verschillende programma's die gebruikmaken van libPNG en misbruikt kunnen worden zijn de Mail-applicatie in Mac OS X, Opera en Internet Explorer op Windows en Mozilla en Netscape op Solaris. Anderhalf jaar geleden verbeterde Microsoft al een bug in de manier waarop Internet Explorer met PNG-afbeeldingen omging en meer dan twee jaar geleden werd een probleem ontdekt waardoor PNG-afbeeldingen programma's onder Linux konden laten crashen. Een verbeterde versie van libPNG is ondertussen beschikbaar.

PNG

Door Yoeri Lauwers

Eindredacteur

Feedback • 06-08-2004 11:45 51

06-08-2004 • 11:45

51

Bron: C|Net

Lees meer

Mozilla: Firefox kwetsbaar voor kwaadaardige afbeeldingen
Mozilla: Firefox kwetsbaar voor kwaadaardige afbeeldingen Nieuws van 18 februari 2012
Kritieke bug in Internet Explorer ontdekt
Kritieke bug in Internet Explorer ontdekt Nieuws van 1 juli 2005
Open brief van Opera aan Microsoft over interoperabiliteit
Open brief van Opera aan Microsoft over interoperabiliteit Nieuws van 12 februari 2005
Opera werkt aan versie voor Windows-telefoons
Opera werkt aan versie voor Windows-telefoons Nieuws van 1 september 2004
'Tweede editie' PNG-formaat binnenkort mogelijk standaard
'Tweede editie' PNG-formaat binnenkort mogelijk standaard Nieuws van 12 november 2003
Verlopen LZW-patent kan populariteit PNG beïnvloeden
Verlopen LZW-patent kan populariteit PNG beïnvloeden Nieuws van 9 juni 2003
Meer producten en artikelen
Software

Reacties (51)

-Moderatie-faq
51
51
30
6
0
7
Wijzig sortering
downtime 6 augustus 2004 11:51
Volgens mij is dit oud nieuws. Er zijn bijvoorbeeld al updates voor de libPNG en de diverse Mozilla programma's verschenen die dit probleem oplossen.

Bovendien zit het probleem volgens mij niet in het PNG formaat maar in libPNG.
pietje63 @downtime6 augustus 2004 11:57
Titel:
Nieuwe veiligheidsproblemen in PNG-formaat ontdekt.

Er zijn ook al eerder veiligheidslekken in ie gevonden dat wil niet zeggen dat er nu geen veiligheidslekken meer in zitten :+.
MoonWatcher 6 augustus 2004 12:18
Het gaat hier dus duidelijk om een implementatie fout in de png rendering library libpng, NIET om een fout in het PNG formaat zelf. hackers schrijven een png bestandje zo weg dat de implementatie het PNG filetje daardoor op een verkeerde manier intepreteerd en verkeerde instructies gaat uitvoeren. formaten opzichzelf zijn vaak niet het probleem, het is bijna altijd de implementatie. denk maar eens aan ssl/ssh, er is bijna niemand die keys gaat bruteforcen, zonde van je tijd, in plaats daarvan maak je gebruik van een implementatie fout. natuurlijk wel spijtig dat er weer zo'n stomme overflow gevonden worden, maar aan de andere kant is het netjes gemeld dat er een fout is, en staat er al weer een nieuw pakketje van libpng klaar om te downloaden, toch hopen dat 't niet te vaak gebeurt.
Verwijderd 6 augustus 2004 11:47
Moeten we nu ook alle PNG's die we zelf gemaakt hebben opnieuw renderen, of ligt het probleem enkel bij de client?
JeRa @Verwijderd6 augustus 2004 11:49
Dat vraag ik me ook af. Dit artikel zegt dat er zes fouten zitten in het PNG-formaat, maar daarna wordt er gesproken van een fout in libpng. Ik gok dat het aan het laatste ligt, maar het staat wel een beetje raar, zo.
The Noid @JeRa6 augustus 2004 13:15
't is een incorrecte titel, de fouten zitten inderdaad in lib-png, niet in het png-formaat.
Debian heeft al nieuwe packages op de update servers staan.
Verwijderd @The Noid6 augustus 2004 13:52
grappig, ik kreeg gister al een nieuwe versie van libpng bij de Yum updates van Fedora Core :P
bij linux zijn ze er zo te zien snel bij. nu MS nog...
Verwijderd @Verwijderd6 augustus 2004 11:49
Ik heb begrepen dat het alleen een client probleem is en dat er speciale gemaakte bestanden voor nodig zijn om een overflow te genereren. Dus oude plaatjes blijven werken
Verwijderd @Verwijderd6 augustus 2004 12:32
Dan is het geen formaat probleem, maar de uitvoering van de functionaliteit van de client.
pietje63 @Verwijderd6 augustus 2004 11:51
Nee, het probleem is anders. Een kwaatwillend iemand kan een PNG zo maken dat deze een soort van virus bevat.

Verschillende programma;s maken gebruik van de libPNG om png bestanden correct weer te geven. Deze library kan bepaalde data die in een png bestand verstopt kan zitten niet goed aan wat voor een buffer overflow (gebruikt om willekeurige code het geheugen in te krijgen) kan zorgen.

Ik verwacht dat de verschillende programma's binnenkort met een update komen waardoor deze png's geen kwaat meer kunnen.

[spuit11] sneller typen enzo, ofgewoon minder :)[/spuit]
Left @pietje636 augustus 2004 11:56
In FireFox 0.9.3 is dit al gefixt, zie de meuktracker van een paar dagen geleden.
Internet Explorer gebruikt libPng niet.
SchizoDuckie @Left6 augustus 2004 12:23
Waar haal jij die wijsheid vandaan???
Als ik in mn win2k src treetje kijk zie ik toch echt in [i]\inet\mshtml\src\site\download\pnglib[/i]
[quote]
libpng.txt - a description on how to use and modify libpng

libpng 1.0 beta 2 - version 0.87
For conditions of distribution and use, see copyright notice in png.h
Copyright (c) 1995, 1996 Guy Eric Schalnat, Group 42, Inc.
January 15, 1996
Updated/rewritten per request in the libpng FAQ
Copyright (c) 1995 Frank J. T. Wojcik
December 18, 1995 && January 20, 1996

[/quote]

Met alle andere libpng bestanden erbij ;)
KnoppenSpook @Left6 augustus 2004 13:05
Het verbaasde mij ook, zeker omdat als ze libPNG gebruiken ook wel goed de transparantie (alpha channel) kunnen toepassen
trogdor @Left6 augustus 2004 13:29
(reactie op KnoppenSpook)

Lol inderdaad. Dat werkt overal behalve in IE op windows.
_JGC_ @Left6 augustus 2004 18:45
KnoppenSpook: blijkbaar ondersteunde de betaversie die MS gebruikt geen alpha transparency en is dit in een latere API toegevoegd aan libpng. Zie Razor_Blade's reactie voor de versie van libpng die gebruikt wordt.

Overigens is deze bug op te lossen in de meeste gevallen door gewoon een nieuwe versie van libpng te installeren. Dat veel closed-source win32 progsels libpng stiekum statisch meecompileren zorgt ervoor dat die ook een update moeten hebben.
Verwijderd @Left6 augustus 2004 19:31
KnoppenSpook: Het transparante(alpha channel) gedeelte van de png specificatie, die te vinden is op w3.org is een optioneel iets. Het is dus een extra optie en waarschijnlijk heeft men er destijds voor gekozen om dit niet toe te voegen.
Ze voldoen zo aan de specificatie alleen de extra optie die eigenlijk png zo nuttig maakt hebben ze over het hoofd gezien. Daar zullen ze nu wel flink spijt van hebben denk ik.
ToAoM @pietje636 augustus 2004 12:01
Mozilla, mozillafirefox ent hunderbird is een update van verschenen die de libpng die gebruikt wordt in deze producten verhelpt. Andere programma's zullen idd sne; volgen denk ik.
Room42 @ToAoM6 augustus 2004 13:37
Joh, typ maar rustig, we lezen het heus wel. Of lees iig je post nog even over, want dit ziet er echt niet uit.

Overbodig? Man, hoevaak ik dit soort slordige reacties wel niet zie! Doe ff relaxt, typ netjes, dat leest een stuk prettiger. Zo houd je bijvoorbeeld ook rekening met dyslectische mensen!
PowerFlower @Verwijderd6 augustus 2004 11:49
Ik denk dat je je PNG's inderdaad moet aanpassen en voorzien van een andere exploit, binnenkort werken je buffer-overflow's nier meer :+
leuk_he @Verwijderd6 augustus 2004 12:12
Het gaat over de implementatie van de client. Door daarin een paar nieuwe checks te maken kan er niet meer van deze fout gebruik gemaakt worden.
FastBunny 6 augustus 2004 11:58
Voor de mozilla met linuxtweakers weer tijd om terug te stappen naar Windows met Internet Explorer dus :+
Zpottr @FastBunny6 augustus 2004 12:23
Dat lijkt me lastig te verdedigen, aangezien Mozilla enkele dagen geleden gepatched is en IE nog niet. Maar verklaar je nader.
PatMan @FastBunny6 augustus 2004 12:05
En waarom zouden ze dat willen doen? Alle Mozilla-produkten waren al gepatcht voordat het nieuws over deze problemen naar buiten is gebracht.
Wacky 6 augustus 2004 11:48
Ik ben eigenlijk best benieuwd naar de manier waarop zoiets werkt. Naar mijn weten checked een image-viewer de header van het bestand. Ik neem toch aan dat zodra het geen afbeelding is, je niets te zien krijgt (Not an image file oid). Hoe kan het zo zijn dat kwaadaardige code dan alsnog wordt uitgevoerd?
roelio @Wacky6 augustus 2004 11:51
Inderdaad, dan zou het dus ook geen fout in het PNG formaat zijn maar een fout in de programmatuur die de PNG verwerkt...
Wacky @roelio6 augustus 2004 11:53
Zoiets had ik dus ook in gedachten, lijkt me sterk dat er "uitvoerbare" code in een PNG bestand "verstopt" kan zitten :o
pietje63 @Wacky6 augustus 2004 11:56
Kan dus wel... Dit is eerder ook wel eens bij jpeg en mp3'tjes gevonden. Bestanden bevatten meer data dan je normaal ziet. Een voorbeeld dat veel mensen wel kennen zijn de id3 tags van mp3's of de metadata van een jpeg (waar oa de naam van de fotograaf in kan worden opgeslagen).
Niet elk bestand is zo rechttoe rechtaan opgebouwd als een .txt of .bmp bestand (zonder meteen te zeggen dat het niet mogelijk is daar een virus in te verbergen).
neh @Wacky6 augustus 2004 13:05
dit is absoluut geen probleem van het formaat. het is een probleem van één specifieke library die het formaat kan lezen.

het heeft niks met rechttoe rechtaan te maken, als ik een texteditor schrijf die op een foutieve manier een regel inleest in een buffer van 100 tekens en iemand maakt een tekstbestand met een regellengte van meer dan 100 tekens kan een textbestand net zo link zijn.
pietje63 @Wacky6 augustus 2004 11:54
Een afbeelding bevat naast de image informatie nog meer info, en daar zit het probleem.

Ik kan me bijvoorbeeld voorstellen dat als er enorm vele metadata mee wordt gestuurd dat de library dit niet aankan en daardoor een bufferoverflow veroorzaakt (al zit dit wel erg simpel zijn, maar het gaat om het idee). Het kan dus best zijn dat het EN een virus EN een afbeelding is.

En ROELIO, zoals in de tekst staat is het idd een fout in de png library.
RuudBurger @Wacky6 augustus 2004 11:54
door die overflow fout :D
MrDummy 6 augustus 2004 11:54
Alweer buffer overflow probleem. Hoe vaak hebben we verhalen niet gelezen waar men via buffer overflow kwalijk in de andermans systeem kan komen... :(

Omdat deze overflow probleem veel voorkomt, waarom testen ze niet boel eerst hierop zodat het stukken veiliger wordt? Er moet toch ergens lampje branden?

En aan andere kant hoort het eigenlijk niet zo dat een afbeelding virussen of kwalijke codes met zich meebrengt. Anders mogen we straks niet meer zonder virusscanner de plaatjes bekijken |:( (ook al komt het van spam bericht waar men foto zou staan van onthoofde beroemdheid....)

Ik haat echt dat ze 'uitvoerbare' afbeelding formaat ontwerpen. Ik heb wel genoeg aan exe,com,pif,bat, doc, enz.......
Verwijderd @MrDummy6 augustus 2004 11:59
nee nee nee het is niet een uitvoerbaar formaat, maar je wilt bijvoorbeeld wel als je op tweakers een nieuwsartikel kopieert naar je mail client, dus vanaf je browser naar je mail app, datie alle info overzet, dus niet alleen de tekst, maar ook het png bestand, in de juiste opmaak, hiervoor zit dus bepaalde metadata, gegevens in het bestand zodat conversie tussen verschillende programmaŽs geen problemen geeft.Dit heeft niks te maken met uitvoerbare bestanden (executable)
metaal @MrDummy7 augustus 2004 12:55
Omdat deze overflow probleem veel voorkomt, waarom testen ze niet boel eerst hierop zodat het stukken veiliger wordt? Er moet toch ergens lampje branden?
Dat lampje is al heel lang gaan branden bij software ontwikkelaars. Helaas is het vinden van een buffer overflow fout niet echt het gemakkelijkste wat er is. Mensen maken nu eenmaal fouten. Ik denk dat je met testen een heel eind kunt komen, maar ook dat heeft zijn grenzen.

Dit is misschien ook wel een van de voordelen van talen zoals C# of Java, daar kan je dit soort fouten niet in maken, omdat de code "managed" is, de vm (of wat dan ook) controleert alles netjes runtime. Er zijn nog wel een aantal andere dingen waarmee wordt geprobeert het uitbuiten van buffer overflows tegen te gaan, zoals speciale aanpassingen in de processor (intels en amd's krijgen dat nu ook)
Verwijderd 6 augustus 2004 11:56
Hoezo microsoft verbeterde de manier waarop IE met PNGs omgaat? De PNG support in IE is ongeveer even bagger als goed als de graphics support in Lynx. En waarschijnlijk even bewust.
TukkerTweaker @Verwijderd6 augustus 2004 12:17
Inderdaad ja, transparante PNG die er stukken beter uitzien dan het GIF equivalent worden gewoon met achtergrond weergegeven.
Rene59 @TukkerTweaker6 augustus 2004 12:43
Daar is een prima workaround voor:
http://homepage.ntlworld.com/bobosola/
freggy @Rene596 augustus 2004 13:29
Als webprogrammeur wil je dat zoiets gewoon werkt, zonder work-arounds. Als je zo voor een drietal webbrowser, telkens een of een paar bugs moet gaan oplossen, vind ik dat verre van een "prima oplossing", maar een groot tijdverlies.

Ook vooral het feit dat mensen al jaren over dit probleem klagen, maar het nu nog altijd niet opgelost is, maakt dit gedrag onvergeeflijk.
SiliconError @Rene596 augustus 2004 22:40
Prima?

Het is totaal onbetrouwbaar en ik zou het nooit gebruiken, want werkt pas vanaf IE 5.5
Bovendien kan je het niet toepassen op CSS background-images.

Als er nu een patch zou komen voor IE (6) dan zullen ze ook geen patches releasen voor lagere versies denk ik... hopeloos dus :P
zeroxcool 6 augustus 2004 12:15
Debian heeft inmiddels ook patches uitgebracht bij de libpng(2|3) packages.
Verwijderd @zeroxcool6 augustus 2004 12:30
Bij Gentoo is inmiddels ook een gefixte versie beschikbaar.
http://bugs.gentoo.org/show_bug.cgi?id=59424

De fix zit in libpng-1.2.5-r8
Ploink @zeroxcool6 augustus 2004 12:54
Redhat/Fedora heeft de update ook al weer klaarstaan:
libpng-1.2.2-22.i386.rpm
Eenvoudig te installeren met up2date of apt.
ymmv 6 augustus 2004 12:52
Zo, met de vertraging van XP SP2 heeft Microsoft mooi nog de gelegenheid om even snel de nieuwe libpng mee te compileren. Geluk bij een ongeluk zullen we maar zeggen.
Jace / TBL @ymmv6 augustus 2004 13:25
Wishful thinking... Wedden dat ie er niet in zit ;(
AuteurYoeri 6 augustus 2004 11:48
als je zelf png'tjes gemaakt heb weet je toch wel dat je er geen foute code ingestopt hebt ;)

het gaat erom dat je dubieuze png'tjes beter niet opent tot je libPNG geupdatet hebt :)
Verwijderd @Yoeri6 augustus 2004 13:56
Inderdaad. Het was me al opgevallen dat 'apt-get update' van debian laatst een nieuwe libpng library voor me installeerde.

Ik verwacht trouwens dat de linuxkernel dergelijke beveiligingsrisico's standaard gaat ondervangen in de nabije toekomst door iets van random geheugenadressen te gebruiken zodat het praktisch onmogelijk is code uit te voeren middels een bufferoverflow.

Linux zal in de toekomst meer en meer gebruikt worden en daardoor zullen meer mensen er meer energie in steken om het systeem zo veilig te houden als dat het nu is. Microsoft heeft voor zover ik weet nog geen enkel plan om zo'n beveiligingslaag in te bouwen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq