Les images deviennent une menace avec le format PNG
Par
La rédaction La rédaction
| Publié le 07/08/2004 à 01:40
Source : Présence PC | Mots-clés : png
Source : Présence PC | Mots-clés : png
Syndication :
Six vulnérabilités découvertes dans un format d'image open source permettraient à des personnes malintentionnées de compromettre les ordinateurs sous Linux, Windows et Macs sous OS X. La faille de sécurité est apparue dans une librairie suportant le format portable network graphics (PNG), utilisé par toute sorte de programmes tels que Opera et Mozilla, et de nombreux clients emails.
La faille la plus critique, un buffer overflow, permettrait à des fichiers PNG d'exécuter des programmes malveillants lorsque l'application charge l'image.
Parmis les programmes utilisant libPNG, et qui sont affectés par la faille, il y a l'application Mail de Mac OS X, les navigateurs internet Opera et Internet Explorer sous Windows, et les navigateurs Mozilla et Netscape sous Solaris, selon Chris Evans, qui a découvert ces failles. Evans n'a pas encore pu tester toutes les plateformes pour voir toutes celles touchées.
La vulnérabilité la plus dangereuse fait planter deux navigateurs open source, selon Evans. Une possibilité plus effrayante, que celle du PNG malveillant résidant sur un site Internet, serait l'exploitation ciblée de ces failles par l'envoi d'un PNG par email à une personne utilisant un client email graphique.
Microsoft et Linux ont déjà eu des problèmes de sécurité avec le format PNG. Il y a un peu plus d'un an, Microsoft avait connu une vulnérabilité critique présente dans la manière dont Internet Explorer exploitait les images PNG. Il y a plus de deux ans, une vulnérabilité de compression de format sous Linux permettait aux images PNG, mais aussi à d'autres types de données, de mettre à mal des programmes tournant sur la machine.
Une version patchée de la librairie PNG, libPNG, peut être téléchargée depuis le site Internet PNG.
Source : ECHU.ORG
La faille la plus critique, un buffer overflow, permettrait à des fichiers PNG d'exécuter des programmes malveillants lorsque l'application charge l'image.
Parmis les programmes utilisant libPNG, et qui sont affectés par la faille, il y a l'application Mail de Mac OS X, les navigateurs internet Opera et Internet Explorer sous Windows, et les navigateurs Mozilla et Netscape sous Solaris, selon Chris Evans, qui a découvert ces failles. Evans n'a pas encore pu tester toutes les plateformes pour voir toutes celles touchées.
La vulnérabilité la plus dangereuse fait planter deux navigateurs open source, selon Evans. Une possibilité plus effrayante, que celle du PNG malveillant résidant sur un site Internet, serait l'exploitation ciblée de ces failles par l'envoi d'un PNG par email à une personne utilisant un client email graphique.
Microsoft et Linux ont déjà eu des problèmes de sécurité avec le format PNG. Il y a un peu plus d'un an, Microsoft avait connu une vulnérabilité critique présente dans la manière dont Internet Explorer exploitait les images PNG. Il y a plus de deux ans, une vulnérabilité de compression de format sous Linux permettait aux images PNG, mais aussi à d'autres types de données, de mettre à mal des programmes tournant sur la machine.
Une version patchée de la librairie PNG, libPNG, peut être téléchargée depuis le site Internet PNG.
Source : ECHU.ORG
-
Actualité précédente
Windows XP SP2 version finale... -
Actualité suivante
Apple n'est pas loyal avec son iPod...
Discussions en cours sur le forum
- Photoshop et le PNG [Graphisme]
- Comment transformer une photo .jpg en .png ? [Photographie]
- png et IE : hack avec DXImageTransform ..bug sur les liens ! [Programmation]
- Photo en JPG passées en PNG [Logiciels]
- Syntaxe htlm pour image en suffixe .png [Programmation]
Posez votre question sur ce sujet à la communauté !
:-o ooh !! bah merde alors !!
Linux est aussi vulnerable qu'un windows !! bah je croyais que c'etais le PARFAIT os sans faille, sans bug et qui ne ressembler en rien, mais alors rien avec l'interface graph de Windows (ou plutot, a l'interface de Xerox)
On m'aurai menti ?? :-o :-x
Pas si sur.....Linux n'en reste pas du moins le meilleur système d'exploitation pour la sécurité ;-)
pour Hellraiser :
rien n'est sûr à 100% et rien n'est jamais parfait. Linux a aussi des failles parfois. La différence c'est qu'il y en a moins souvent et qu'elles sont corrigées plus rapidement. Par exemple, on vient de découvrir une faille du kernel (noyau) Linux il y a quelque jours. Mais lorsqu'on a eu l'info, on avait déjà le patch dispo.
Pour ce qui est de l'interface, linux, c'est le règne du choix : si tu veux que ça ressemble à windows, ça y ressemblera, si tu veux quelque chose de différent, ça le sera.
Alors en conclusion, si on t'as dis "linux c'est parfait" oui, on t'a menti.
Si on t'as dis "linux c'est mieux", à mon avis, c'est tout à fait vrai.
Pas de bol!!! il faudra faire une mise à jour de mon Linux hé oui!!!! mais bon je rete persuader que Linux reste le meilleur système d'exploitation ;-)
!!
Si on t'as dis "linux c'est mieux", à mon avis, c'est tout à fait vrai.
Enfin une personne qui a les pieds sur terre !! Parce que l'on ma rabacher des centaines de fois que c'etais l'OS "PARFAIT" !!
Pour ce qui est des mise a jours, bah ya un site qui s'appelle windowsupdate et qui permet de faire assez souvent des mise a jour !!
Quand tu dis qu'une faille a etais trouver sous Linux et le patch sortie de suite apres !! la question qu'il faut se poser c'est, quand est-ce qu'ils ont vraiment decouvert la faille ? 3, 4 jours avant de la publier !? LEs patch Microsoft sont "en regle generale" sortie dans cet lapse de temps !
Bon je ne suis pas pro-Microsoft, je m'en fou meme totalement, mais j'en est un peu marre d'entredre dire tout le monde que c'est de la vrai merde !!
Donner moi le nom d'un autre OS qui soit compatible avec des millions applications ?
Hellraiser tu dis beaucoup de bêtises... notamment quand tu dis que les patch microsoft sortent 3/4 jours après la découverte d'une faille, c'est ne pas connaitre de quoi l'on parle... tu rajoutes un bon 15 jours/1 mois et tu auras le bon chiffre...
Heu... hellraiser... on a déjà vu des failles MS corrigées au bout de 8 mois...
Et je doute qu'il y ait des millions d'applications sous Windows.
Et même si c'était le cas :
- quelle intérêt ? vu qu'il n'y a pas des millions d'utilisations, il y aurait beaucoup de logiciels concurrents (ou redondants).
- si on considère le nombre de logiciels comme étant directement conséquence du nombre d'utilisateurs, alors c'est une donné variable, qui ne permet pas de juger des qualités d'un OS.
- on en a bien suffisamment sur linux : fait un tour sur www.debian.org rubrique packages (environ 9000 logiciels et ils ne sont sont pas tous là).
Aux "windowsiens" qui liront ça : ne jugez pas la quantité d'applications dispo sur linux à ce qu'on trouve sur telecharger.com (y'a rien sur ce site).