Des failles de s�curit� d�cel�es dans le format d'image PNG

Des failles de s�curit� d�cel�es dans le format d'image PNG

Des failles de PNG, format libre de compression d'image, pourraient �tre exploit�es par des mains expertes pour ex�cuter du code � distance sur un syst�me Windows, MacOS ou GNU/Linux. Des correctifs sont disponibles pour les OS Linux et Mozilla.

La soci�t� danoise de recherche en s�curit� Secunia a point� six vuln�rabilit�s dans le format d'image non propri�taire "portable network graphics" (PNG). Ce format libre de droits, cr�� en 1995, est une alternative open source au format propri�taire GIF, propri�t� intellectuelle d'Unisys.

Ces vuln�rabilit�s ont �t� d�cel�es au niveau de la librairie "libpng", un module o� diverses applications piochent les ressources pour d�coder les images au format PNG, indique Secunia dans son alerte. Elles affectent les version 1.2.5 et 1.0.15, ou ant�rieures, de cette librairie.

La librairie "libpng" est utilis�e par les navigateurs Mozilla, Opera et Netscape ainsi que par leurs outils de messagerie associ�s. Internet Explorer pourrait aussi �tre concern�, mais Microsoft n'a pour l'instant rien confirm�.

La plupart des syst�mes d'exploitation sont affect�s, dont Windows, MacOS, les principales distributions Linux (Red Hat, Suse, Mandrake, Fedora, Debian) et m�me Solaris (Sun Microsystems).

La classique "buffer overflow"

�Une personne malintentionn�e pourrait cr�er une image pi�g�e, plac�e sur un site web ou dans un e-mail afin d'ex�cuter du code � distance�, explique-t-on au Cert-IST, le centre de surveillance fran�ais pour les secteurs de l'industrie, des services et du tertiaire.

Le Cert-IST a �mis un avis (non public) sur le sujet jeudi 5 ao�t, avec un indice de dangerosit� "moyen" (niveau trois d'une �chelle qui en comporte cinq). Une alerte donc mod�r�e. �C'est un "exploit" plut�t complexe � mettre en �uvre, c'est pourquoi nous ne lui avons pas attribu� un risque plus �lev�, explique un porte-parole.

Concr�tement, ces vuln�rabilit�s peuvent notamment �tre exploit�es pour cr�er un d�passement de m�moire tampon (buffer overflow), d�faillance survenant lorsqu'un programme demande davantage de m�moire qu'il n'en dispose.

R�sultat, le programme acc�de alors � des zones m�moire qui ne lui sont pas destin�es. Une situation qui peut ensuite �tre exploit�e pour ex�cuter du code � distance sur la machine-cible, afin d'en prendre le contr�le.

Pour se prot�ger, la communaut� open source d�veloppant le format PNG fournit une nouvelle version de la librairie "libpng" pour OS Linux qu'il est recommand� d'installer. Il n'existe pas encore de version mise � jour pour les autres syst�mes.

Les distributeurs d'OS Linux Red Hat fournissent �galement des correctifs sp�cifiques pour les diff�rentes versions de leurs distributions. Mozilla dispose en outre d'une nouvelle mouture, la 1.7.2, r�sorbant les failles pour Windows, Linux et MacOS.

source: Zdnet

Et ouais, et nous on a appris � "faire ca" cette ann�e en informatique, pas mal pas mal, on va voir apparaitre des petits virus" dans les images maintenant !!!
Les antivirus vont avoi du boulot !!!
_________________
Ce qui ne tue pas mon zoli petit ordinateur le rend plus Zen... et moi z'aussi !!!