News-Meldung vom 08.06.2006 11:46
Beim Verarbeiten manipulierter GIF-Grafiken kann die Grafikbibliothek libgd in eine Endlosschleife geraten und die komplette CPU-Zeit aufbrauchen. Angreifer könnten die Schwachstelle beispielsweise in Foren-Software ausnutzen, die das Hochladen von Grafiken erlaubt und verkleinerte Voransichten mit der Bibliothek generiert.
Unter anderem kann der Aufruf der Funktion gdImageCreateFromGifPtr() mit präparierten GIFs beim Dekodieren der Lempel-Ziv-Welch-Kompression (LZW) das Durchlaufen der betroffenen Routine in der Endlosschleife auslösen. Auf der Projekt-Homepage steht derzeit noch die für den Fehler anfällige Version 2.0.33 der libgd bereit. In der Sicherheitsmeldung auf Bugtraq findet sich jedoch ein Patch, den Anwender von Hand in die Quellen einpflegen und zur Neukompilierung der Bibliothek nutzen können.
Siehe dazu auch:
(dmk)
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-130544
Themen-Forum Schwachstellen
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
