Biztonsági hiba a libpng-ben

Windows alatt is megzakkan tőle a firefox.

A Mozilla frissítésekben az egyik javított biztonsági rés ezt a sebezhetőséget szüntette meg.

Vajon az 500 dollar ilyen esetekben is all? ;)

Ha nem te vitted be a hibát, és nem Mozilla alkalmazott javította, akkor szvsz igen. Bár ez elég egyértelmű hiba volt, nem nagyon volt mit felfedezni rajta... Meg ugye ez nem is a Mozilla kódjában volt.

Ezt tegnapelött publikálta a secunia [secunia.com], és a disztribúciók tegnapelött ki is adták a hibához a javítást. Azért sz'tem fontos megemlíteni, hogy ez a hiba nem csak a mozilla-t érinti, hanem minden mást ami a lipng-t használja.

A javítások innen elérhetőek:

Gentoo-hoz [www.gentoo.org]

Red Hat-hez [rhn.redhat.com]

SuSE-hez [secunia.com]

Fedora-hoz [secunia.com]

Debian-hoz [www.debian.org]

Ha valaki nem tudja, hogy érintett-e a hiba által:

Itt ellenőrizheti ennek a "képnek" a megtekintésével (értelemszerűen a javított mozilla már lekezeli, de ha a jaívtott PNG könyvtár nincs telepítve, akkor attól még a többi alkalmazás "sebezhető".

A hiba felfedezőjének (Chris Evans) bővebb leírása [scary.beasts.org] a hibáról, benne patch-el.

Ha valaki olyan linuxot használ, amihez nincs javítás, ill. a patchelést nem tudja "kézzel" megoldani, akkor sincs minden veszve. Buffer Overflow védelemmel ellátott kernel használata még segíthet rajta.

Legalábbis tegnapelötti "teszt" során a PaX "megvédte" a rendszert az "ártalmas kód"-tol. A processz ugyan természetesen terminál, de ez még mindig a kisebbik rossz.

Aug 5 12:10:00 osconsfortress kernel: PAX: execution attempt in: NULL, 00000000-00000000 00000000

Aug 5 12:10:00 osconsfortress kernel: PAX: terminating task: /usr/lib/mozilla/mozilla-bin(mozilla-bin):17317, uid/euid: *cenzúrázva*/*cenzúrázva*, PC: *cenzúrázva*, SP: *cenzúrázva*

Szerintem mindenki mihamarabb, de még inkább rögtön, de leginkább tegnapelött :), telepítse a javított a libng-t!!

cenzúrázva ;))

paranoia rulez