Les images deviennent une menace avec le format PNG

Six vulnérabilités découvertes dans un format d'image open source permettraient à des personnes malintentionnées de compromettre les ordinateurs sous Linux, Windows et Macs sous OS X. La faille de sécurité est apparue dans une librairie suportant le format portable network graphics (PNG), utilisé par toute sorte de programmes tels que Opera et Mozilla, et de nombreux clients emails.

La faille la plus critique, un buffer overflow, permettrait à des fichiers PNG d'exécuter des programmes malveillants lorsque l'application charge l'image.

Parmis les programmes utilisant libPNG, et qui sont affectés par la faille, il y a l'application Mail de Mac OS X, les navigateurs internet Opera et Internet Explorer sous Windows, et les navigateurs Mozilla et Netscape sous Solaris, selon Chris Evans, qui a découvert ces failles. Evans n'a pas encore pu tester toutes les plateformes pour voir toutes celles touchées.

La vulnérabilité la plus dangereuse fait planter deux navigateurs open source, selon Evans. Une possibilité plus effrayante, que celle du PNG malveillant résidant sur un site Internet, serait l'exploitation ciblée de ces failles par l'envoi d'un PNG par email à une personne utilisant un client email graphique.

Microsoft et Linux ont déjà eu des problèmes de sécurité avec le format PNG. Il y a un peu plus d'un an, Microsoft avait connu une vulnérabilité critique présente dans la manière dont Internet Explorer exploitait les images PNG. Il y a plus de deux ans, une vulnérabilité de compression de format sous Linux permettait aux images PNG, mais aussi à d'autres types de données, de mettre à mal des programmes tournant sur la machine.

Une version patchée de la librairie PNG, libPNG, peut être téléchargée depuis le site Internet PNG.

Source : ECHU.ORG
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
7 commentaires
    Votre commentaire
  • sadraven
    :-o ooh !! bah merde alors !!

    Linux est aussi vulnerable qu'un windows !! bah je croyais que c'etais le PARFAIT os sans faille, sans bug et qui ne ressembler en rien, mais alors rien avec l'interface graph de Windows (ou plutot, a l'interface de Xerox)

    On m'aurai menti ?? :-o :-x
    -1
  • adilelgh
    Pas si sur.....Linux n'en reste pas du moins le meilleur système d'exploitation pour la sécurité ;-)
    1
  • Ohkami
    pour Hellraiser :
    rien n'est sûr à 100% et rien n'est jamais parfait. Linux a aussi des failles parfois. La différence c'est qu'il y en a moins souvent et qu'elles sont corrigées plus rapidement. Par exemple, on vient de découvrir une faille du kernel (noyau) Linux il y a quelque jours. Mais lorsqu'on a eu l'info, on avait déjà le patch dispo.

    Pour ce qui est de l'interface, linux, c'est le règne du choix : si tu veux que ça ressemble à windows, ça y ressemblera, si tu veux quelque chose de différent, ça le sera.

    Alors en conclusion, si on t'as dis "linux c'est parfait" oui, on t'a menti.
    Si on t'as dis "linux c'est mieux", à mon avis, c'est tout à fait vrai.
    1