В кросс-платформенной библиотеке сжатия zlib обнаружена серьезнейшая уязвимость
14.03.2002 10:00
Уязвимость в широко распространенной библиотеке сжатия zlib ставит под вопрос безопасность использования множества программ для Linux и других операционных систем.
Дыра была обнаружена пользователем Linux Маттиасом Класеном. Тестируя библиотеку gdk-pixbuf, он создал файл в формате PNG, вызывающий ошибку в библиотеке libpng. Как выяснилось впоследствии, причина заключалась в библиотеке zlib 1.1.3, которую использует libpng. При определённых условиях zlib может дважды освободить одну и ту же область памяти.
Используя данную уязвимость, злоумышленник может попытаться нарушить функционирование программ, в которых используется zlib. Кроме того, есть определённая вероятность, что с её помощью в системе может быть запущен какой-либо вредоносный код.
Поскольку дыра обнаружена именно в библиотеке, уязвимыми оказываются любые приложения, которые обращаются к ней, вне зависимости от операционной системы, под которой они работают. Zlib используют многие программы, работающие со сжатыми данными. К библиотеке обращаются графическая оболочка Linux X11, браузеры Netscape, Mozilla и Internet Explorer, многие программы для работы с графикой и прочие. Функции библиотеки используются для сжатия данных, передаваемых по сетям.
Некоторые программы обращаются к динамической версии библиотеки, в то время как другие статически прилинкованы к zlib. В первом случае достаточно установить исправленную версию zlib. Второй случай сложнее: ошибочный код оказался встроен в приложение непосредственно.
Насколько известно, до сих пор эта дыра никогда не использовалась хакерами. Тем не менее, по мнению специалистов по компьютерной безопасности, это только вопрос времени.
Компьюлента
последние новости
17.05.2006 17:43 | Rambler растет за счет Рунета...»
15.05.2006 15:28 | Бесплатный Page Promoter Bar 2.0: диагностика ресурса в реальном времени...»
12.05.2006 14:57 | Flash освободится от браузера...»
11.05.2006 18:43 | CorelDraw X3 Graphics Suite — счастливый номер 13...»
11.05.2006 17:38 | Google урегулирует иск о "накрутке" посещаемости...»
11.05.2006 16:19 | СМИ уходят в интернет...»
11.05.2006 14:17 | Google предлагает новые программы...»
09.05.2006 17:54 | Российский поисковик с открытыми исходными кодами...»
09.05.2006 17:28 | Сайты-двойники: воровать – так уж целиком...»
05.05.2006 19:59 | Corel покупает WinZip...»
05.05.2006 19:54 | Академия графического дизайна – на юбилейной "Идее!"...»
05.05.2006 19:28 | Google проводит конкурс европейских программистов...»
04.05.2006 20:12 | IE 7.0 становится "яблоком раздора"...»
04.05.2006 20:04 | Firefox обновлен до версии 1.5.0.3...»
04.05.2006 19:46 | RealWeb: Эффективность по курсу…...»
03.05.2006 17:45 | Firefox 2.0 лишили важного нововведения...»
03.05.2006 14:22 | Бесплатный семинар по анализу, оптимизации, продвижению и управлению ресурсом...»
29.04.2006 19:02 | Бесплатная программа для 3D-рисования от Google...»
29.04.2006 19:00 | Программисты теперь могут работать без рук...»
29.04.2006 18:50 | В интернете появился "убийца" браузера Internet Explorer...»
|
|