16.04.2012 14:16
Alert! Kritische Lücke in IrfanView-Plugin
Das offizielle Plugin-Paket für den beliebten Bildbetrachter IrfanView wird derzeit mit einer verwundbaren Version des FlashPix-Plugins ausgeliefert. Das Plugin enthält eine kritische Lücke, durch die ein Angreifer das System mit Schadcode infizieren kann. Bei der Lücke handelt es sich um einen Pufferüberlauf auf dem Heap.
Damit der Code des Angreifers ausgeführt wird, muss man lediglich ein speziell präpariertes Bild im FlashPix-Format mit IrfanView öffnen. Zwar handelt es sich hierbei um ein recht exotisches Bildformat, das Öffnen kann jedoch auch unbewusst geschehen; etwa, wenn man einen Ordner voller Bilder mit IrfanView durchstöbert.
Abhilfe schafft die fehlerbereinigte Plugin-Version 4.34, die man manuell nachinstallieren muss. Entdeckt hat die Lücke der Sicherheitsforscher Francis Provencher, der sie vertraulich an Secunia gemeldet hat. Inzwischen hat er auch einen Proof-of-Concept-Exploit veröffentlicht, sodass IrfanView-Nutzer, die das Plugin-Paket installiert haben, umgehend reagieren sollten. Vor einem Monat wurde in dem Bildbetrachter XnView ebenfalls eine Lücke im FlashPix-Renderer geschlossen.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
