31.03.2008 16:10
Der Bildbetrachter und -konverter XnView patzt laut einer Sicherheitsmeldung des Sicherheitsdienstleisters Secunia beim Verarbeiten von manipulierten Slideshows. In der Folge können Angreifer mit präparierten Dateien etwa auf Webseiten oder in E-Mails Schadcode einschleusen, wenn arglose Anwender diese Dateien öffnen.
Der Fehler geht auf eine fehlende Längenprüfung des Parameters FontName in den Slideshow-Dateien (.sld) zurück. Ist der Name zu lang, kann ein stackbasierter Pufferüberlauf auftreten. Der Fehler betrifft XnView 1.92 und 1.92.1 und möglicherweise ältere Fassungen. Auf der Homepage steht inzwischen Version 1.93.4 zum Download bereit, die den Fehler nicht mehr enthält. Nutzer der Software sollten umgehend auf diese Version aktualisieren.
Siehe dazu auch:
(dmk)
English version: Code smuggling through XnView slide shows
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-194233
