VulDB: GTK+ 2.x GdkPixbufLoader() korruptes Bild Denial of Service
Allgemein
scipID: 2878
Betroffen: GTK+ 2.x
Veröffentlicht: 25.01.2007 (Arjan van de Ven)
Risiko: 
problematisch
Beschreibung
GIMP (GNU Image Manipulation Program, ursprünglich: General Image Manipulation Program) ist ein quelloffenes Bildbearbeitungsprogramm für verschiedene Plattformen, das vorwiegend im Linux-Umfeld seinen Einsatz findet. Durch einen Fehler in der Funktion GdkPixbufLoader() kann es bei der Interpretation eines korrupten Bilds zum Absturz der Software kommen. Weitere Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Als Workaround wird empfhlen, bis eine neue Version erscheint, lediglich Dateien vertrauenswürdiger Herkunft zu öffnen.
Diese Schwachstelle ist interessant und zeigt, dass auch normale Client-Software für indirekte Angriffe genutzt werden kann. In sicherheitsrelevanten Umgebungen sollte man so oder so auf unnötige Software verzichten. Ist der GIMP als freie Lösung trotzdem benötigt, gilt es auf die neueste Version zu aktualisieren.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Indirekt
Exploit: –
Milw0rm: –
Nessus: 29453 (Name: SuSE Security Update: Security update for gtk2 (gtk2-2497)
ATK: –
Gegenmassnahmen
Status: Hersteller arbeitet an einer Lösung.
Bestätigung: https://issues.rpath.com/browse/RPL-984
Massnahme: Ein alternatives Produkt einsetzen.
Link: http://gtk.org
Snort: –
Pattern: –
Quellen
Advisory: http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=218755
CVE: CVE-2007-0010
OSVDB: 31621
Securityfocus: 22209
Secunia: 24095
X-Force: –
Securitytracker: 1017552
VUPEN: ADV-2007-0331
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Andere: http://rhn.redhat.com/errata/RHSA-2007-0019.html
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
