Lücke in libpng erzwingt Browser-Updates

Ohne besondere Ankündigung verteilt die Mozilla-Foundation seit gestern Version 10.0.2 des freien Browsers Firefox. Die Release-Notes enthalten zwar einen Verweis auf geschlossene Sicherheitslücken, dort sind jedoch keine Details für 10.0.2 verfügbar. Kurz zuvor hatte Google seinen Chrome-Browser auf Version 17.0.963.56 aktualisiert und dabei 13 Sicherheitslücken geschlossen .

Eine Forumsdiskussion deutet darauf hin, dass eine davon ebenfalls Ursache für die als "chemspill"-Release bezeichnete Aktualisierung von Firefox war. Ein Forumsbeitrag verweist auf einen Integer-Overflow in der für die Anzeige von PNG-Grafiken genutzten libpng. Der Firefox-Fehler 727401 ist jedoch zurzeit in Bugzilla nicht öffentlich sichtbar und korrespondiert mit dem Bug, für dessen Entdeckung Google Jüri Aedla 1337 US-Dollar bezahlt hat. Er betrifft die Dekomprimierung von PNG-Daten. Den Kommentaren zufolge kann er zu einem Integer-Overflow oder dem Abschneiden von Werten führen.

Ob es einen Exploit für diese Lücke gibt und welche Folgen sie haben könnte, ist noch nicht bekannt. Betroffen zu sein scheinen sämtliche libpng-Versionen seit 1.2.8. In einer kurzen Analyse von Secunia heißt es, ein Exploit könne die Ausführung beliebigen Codes ermöglichen, wenn der Browser ein geeignet präpariertes PNG-Bild lade.

Siehe dazu auch:

• Chrome und
• Firefox im heise Software-Verzeichnis

(ck)