Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Network & Solutions
Sicherheitsloch in zlib
Veröffentlicht am 20.03.2002 00:00:00
Ein Sicherheitsloch in der zlib Library macht Systeme verwundbar für Angriffe. Nichts ahnend versuchte ein User namens Clasen eines seiner PNG Bilder in einen Bildbearbeitungsprogramm unter Red Hat Linux zu öffnen was allerdings nur in einen Absturz endete. Also mailte er einen Bug Report an Red Hat.
Dort stelle sich schließlich heraus dass dieser Absturz nicht von dem Bildbearbeitungsprogramm ausgelöst wurde sondern von der zlib Bibliothek die dazu verwendet wurde um das Bild zu dekomprimieren. Nach weiteren Test war es definitiv, das dieser Fehler ein Sicherheitsrisiko darstellt und Programme die diese Bibliothek verwenden verwundbar sind.
Die Zahl der Programme die zlib verwenden ist alles andere als klein. Angefangen von Bildbearbeitungsprogrammen, über Servermodulen z.b. PHP verwendet auch zlib, bis hin zum Kernel selbst ist alles vertreten. Es sind insgesamt über 600 Programme.
Einige Tagen nachdem zum ersten mal von diesen Sicherheitsloch (auch als Double Free Bug bekannt) berichtet wurde stellte sich heraus das auch einige nicht Linux Systeme betroffen sind. Microsoft hatte sich nämlich teile der zlib Bibliothek ausgeborgt und in einigen ihrer Programme verwendet. So enthält neben DirectX auch Office, IE, Messanger, Visual Studio auch das Graphics Device Interface von Windows XP zlib Code.
Patches:
Für die meisten Linux Distributionen sind schon entsprechende Securitypatches verfügbar. MandrakeSoft hat es sogar ein klein wenig übertrieben und 800MB an geupdateten Paketen veröffentlicht. Wer einen 800MB Download in Erwägung zieht sollte sich lieber das soeben erschienene Mandrake Linux 8.2 herunterladen das ebenfalls zlib bugfrei ist.
Microsoft dagegen untersucht noch in wieweit ihre Software vom zlib Problem betroffen ist. Ebenfalls keinen Patch gibt es derzeit für die bei ISP beliebten Sun Cobalt RaQ3/4 Server. Sun ist sich aber der Lage bewusst und arbeitet derzeit an einen entsprechenden Patch.
Veröffentlicht am 20.03.2002 00:00:00
Ein Sicherheitsloch in der zlib Library macht Systeme verwundbar für Angriffe. Nichts ahnend versuchte ein User namens Clasen eines seiner PNG Bilder in einen Bildbearbeitungsprogramm unter Red Hat Linux zu öffnen was allerdings nur in einen Absturz endete. Also mailte er einen Bug Report an Red Hat.
Dort stelle sich schließlich heraus dass dieser Absturz nicht von dem Bildbearbeitungsprogramm ausgelöst wurde sondern von der zlib Bibliothek die dazu verwendet wurde um das Bild zu dekomprimieren. Nach weiteren Test war es definitiv, das dieser Fehler ein Sicherheitsrisiko darstellt und Programme die diese Bibliothek verwenden verwundbar sind.
Die Zahl der Programme die zlib verwenden ist alles andere als klein. Angefangen von Bildbearbeitungsprogrammen, über Servermodulen z.b. PHP verwendet auch zlib, bis hin zum Kernel selbst ist alles vertreten. Es sind insgesamt über 600 Programme.
Einige Tagen nachdem zum ersten mal von diesen Sicherheitsloch (auch als Double Free Bug bekannt) berichtet wurde stellte sich heraus das auch einige nicht Linux Systeme betroffen sind. Microsoft hatte sich nämlich teile der zlib Bibliothek ausgeborgt und in einigen ihrer Programme verwendet. So enthält neben DirectX auch Office, IE, Messanger, Visual Studio auch das Graphics Device Interface von Windows XP zlib Code.
Patches:
Für die meisten Linux Distributionen sind schon entsprechende Securitypatches verfügbar. MandrakeSoft hat es sogar ein klein wenig übertrieben und 800MB an geupdateten Paketen veröffentlicht. Wer einen 800MB Download in Erwägung zieht sollte sich lieber das soeben erschienene Mandrake Linux 8.2 herunterladen das ebenfalls zlib bugfrei ist.
Microsoft dagegen untersucht noch in wieweit ihre Software vom zlib Problem betroffen ist. Ebenfalls keinen Patch gibt es derzeit für die bei ISP beliebten Sun Cobalt RaQ3/4 Server. Sun ist sich aber der Lage bewusst und arbeitet derzeit an einen entsprechenden Patch.
Ähnliche Artikel
13.03.2002 00:00:00: Schweres Sicherheitsloch in PHP
Auch PHP ist nicht frei von Sicherheitslöchern....
22.02.2002 00:00:00: Microsoft: Neue Patches schließen Sicherheitslöcher
Für drei "neue" Sicherheitslücken bietet nun Microsoft passende Patches zum Download an. Die Hintertürchen wurden bis jetzt geheim gehalten....
15.02.2002 00:00:00: Cigital: Sicherheitslücke in .Net-Compiler
Cigital, ein auf Softwaresicherheit spezialisiertes Unternehmen, fand nun ein Sicherheitsloch im Compiler von Visual C++.Net....
21.12.2001 00:00:00: Sicherheitsrisiko: Universal Plug and Play
Das US-Sicherheitsunternehmen eEye Digital Security fand ein Sicherheitsloch in Windows XP, welches durch Universal Plug and Play verurschat wird....
17.12.2001 00:00:00: Microsoft: Sicherheitsupdates für IE
'13 December 2001 Cumulative Patch for IE†flickt schwerwiegende Sicherheitslöcher beim Internet Explorer....
22.10.2001 23:00:00: Linux Kernel: Sicherheitslücken
Sicherheitsprobleme unter Linux...
21.08.2001 23:00:00: Logitech: Funk-Sicherheit
Logitech erweitert wiedereinmal sein Produktangebot. Darunter sind optische Mäuse und drahtlose Tastaturen, dessen Funkverbindung verschlüsselt ist....
16.08.2001 23:00:00: Microsoft: Patch für Sicherheitslücke
Endlich gibt es für Outlook 2000 und 2002 einen Patch der eine unangenehme Sicherheitslücke flickt. Für Outlook 98 gibt es allerdings noch keinen....
26.07.2001 23:00:00: Erneut Sicherheitslücke im Media Player
Bug im Windows Media Player ermöglicht das Ausführen eines beliebigen Programmes auf einem Rechner....
12.07.2001 23:00:00: Outlook: Sicherheitslücke
Sicherheitslücke in Outlook 98, 2000, 2002 ermöglicht die Manipulation von emails und anderen Daten....
Auch PHP ist nicht frei von Sicherheitslöchern....
22.02.2002 00:00:00: Microsoft: Neue Patches schließen Sicherheitslöcher
Für drei "neue" Sicherheitslücken bietet nun Microsoft passende Patches zum Download an. Die Hintertürchen wurden bis jetzt geheim gehalten....
15.02.2002 00:00:00: Cigital: Sicherheitslücke in .Net-Compiler
Cigital, ein auf Softwaresicherheit spezialisiertes Unternehmen, fand nun ein Sicherheitsloch im Compiler von Visual C++.Net....
21.12.2001 00:00:00: Sicherheitsrisiko: Universal Plug and Play
Das US-Sicherheitsunternehmen eEye Digital Security fand ein Sicherheitsloch in Windows XP, welches durch Universal Plug and Play verurschat wird....
17.12.2001 00:00:00: Microsoft: Sicherheitsupdates für IE
'13 December 2001 Cumulative Patch for IE†flickt schwerwiegende Sicherheitslöcher beim Internet Explorer....
22.10.2001 23:00:00: Linux Kernel: Sicherheitslücken
Sicherheitsprobleme unter Linux...
21.08.2001 23:00:00: Logitech: Funk-Sicherheit
Logitech erweitert wiedereinmal sein Produktangebot. Darunter sind optische Mäuse und drahtlose Tastaturen, dessen Funkverbindung verschlüsselt ist....
16.08.2001 23:00:00: Microsoft: Patch für Sicherheitslücke
Endlich gibt es für Outlook 2000 und 2002 einen Patch der eine unangenehme Sicherheitslücke flickt. Für Outlook 98 gibt es allerdings noch keinen....
26.07.2001 23:00:00: Erneut Sicherheitslücke im Media Player
Bug im Windows Media Player ermöglicht das Ausführen eines beliebigen Programmes auf einem Rechner....
12.07.2001 23:00:00: Outlook: Sicherheitslücke
Sicherheitslücke in Outlook 98, 2000, 2002 ermöglicht die Manipulation von emails und anderen Daten....
« INODE: Fair Use-ADSL für 50 EUR · Sicherheitsloch in zlib
· Epson: Bluetooth Adapter »