Photoshop-Leck erlaubt Code-Einschleusung

SicherheitSicherheitsmanagement

Der Sicherheitsexperte Scott Laurie fand eine gefährliche Lücke in Adobes neuester Photoshop-Reihe CS3.

In Photoshop CS3, Photoshop Album Starter Edition 3.2 und in After Effects CS3 steckt eine Lücke, die es erlaubt, Trojaner einzuschleusen. Manipulierte BMP-Bilder würden dies möglich machen, schreibt Scott Laurie in der Sicherheits-Mailingliste Full Disclosure. Adobe würde alles, was in den Header-Daten der Bilder steht, 1:1 schlucken, behauptet er – fehlende Überprüfungsfunktionen könnten so einen Buffer Overflow auslösen. Zum Beweis hat Laurie gleich eine manipulierte Bilddatei dazu veröffentlicht.

Wer die manipulierten Dateien von Hand öffnet oder sie sich durch die die automatischen USB-Stick-Lesefunktionen von Photoshop Album Starter Edition einfängt, ist anfällig für das Einschleusen von Code durch Dritte.

Noch steht kein Patch bereit, Adobe jedoch erklärt auf Anfrage, schon daran zu arbeiten. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen