1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitspatches: Android lässt…

PNG auf Website?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. PNG auf Website?

    Autor: FireEmerald 08.02.19 - 13:21

    Wie kann man solch einen Artikel verfassen und dann kein Wort darüber verlieren, in wie weit eine PNG Datei das System kompromitieren kann.

    Reicht es eine Website zu besuchen wo eine entsprechende PNG Datei platziert wurde aus?

    Muss man die PNG Datei explizit mit einer App öffnen?

    ...

  2. Re: PNG auf Website?

    Autor: torrbox 08.02.19 - 13:32

    Schon. Die wichtigste Information fehlt.

  3. Re: PNG auf Website?

    Autor: dantist 08.02.19 - 13:34

    +1

  4. Re: PNG auf Website?

    Autor: 1nformatik 08.02.19 - 13:36

    Ist halt Golem Standardqualität, irgendein Copy Paste Artikel und dafür auch noch Geld verlangen wollen.

  5. Re: PNG auf Website?

    Autor: neocron 08.02.19 - 13:37

    und trotzdem bist du noch hier? wtf?

  6. Re: PNG auf Website?

    Autor: Noren 08.02.19 - 13:41

    Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert und nicht das Android System. Über Mails, Chats, etc. sollte man aber verwundbar sein.

  7. Re: PNG auf Website?

    Autor: M.P. 08.02.19 - 13:55

    Da könnte es Unterschiede geben.
    Der "Browser", der älteren Android Versionen beiliegt wird womöglich auf die System-Bibliotheken zugreifen.
    Chrome, oder ein Browser aus der Store könnte da eigenes Werkzeug für PNGs mitbringen ...

  8. Re: PNG auf Website?

    Autor: Usernäme 08.02.19 - 14:00

    Das erfahrt ihr in der nächsten Folge.
    Bleiben sie dran!

  9. Re: PNG auf Website?

    Autor: toastedLinux 08.02.19 - 14:06

    Google hat nicht genau beschrieben wie und was das Problem ist, die CVE Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest wird erst in den nächsten Tagen veröffentlicht.

  10. Re: PNG auf Website?

    Autor: Z101 08.02.19 - 14:10

    toastedLinux schrieb:
    --------------------------------------------------------------------------------
    > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG
    > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > wird erst in den nächsten Tagen veröffentlicht.

    Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ich denke mit solchen Artikeln bekommt man kurzfristig einige Klicks aber verliert langfristig Leser die sich genervt abwenden.

  11. Re: PNG auf Website?

    Autor: sg (Golem.de) 08.02.19 - 14:51

    Ich bin davon ausgegangen, dass die Information "Android-Betriebssystem" ausreicht.
    Im Text steht jetzt zusätzlich dazu noch Android-Framework, was die Java-APIs meint. Jede App, die das Framework zum Anzeigen von PNGs nutzt, kann damit also theoretisch zum Ausnutzen der Lücke genutzt werden.

    ---------
    Sebastian Grüner

    Golem.de

  12. Re: PNG auf Website?

    Autor: Sh3rlock 09.02.19 - 08:33

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert
    > und nicht das Android System. Über Mails, Chats, etc. sollte man aber
    > verwundbar sein.


    Wobei zb Whatsapp Bilder doch häufig komprimiert und der Schadcode dadurch (vermutlich) verloren geht

  13. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:08

    1nformatik schrieb:
    --------------------------------------------------------------------------------
    > Ist halt Golem Standardqualität, irgendein Copy Paste Artikel

    Ist halt 1nformatik Standarqualität: Meckern, statt selber recherchieren.
    Wenn du die verlinkte Google Seite aufgerufen hättest, könntest du vielleicht sogar sehen, dass es keinerlei nähere Infos zu der Lücke gibt. Die CVE Nummer ist vergeben, aber es gibt keine Beschreibung dazu.
    Also: was soll Golem daraus machen, deiner Meinung nach?

    > und dafür auch noch Geld verlangen wollen.
    Ja, wenn dich es nervt: lese einfach woanders oder mach es selbst besser.

  14. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:19

    Z101 schrieb:
    --------------------------------------------------------------------------------
    > toastedLinux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen
    > BUG
    > > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > > wird erst in den nächsten Tagen veröffentlicht.
    >
    > Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach
    > der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ist es so schwer einen Link anzuklicken und zu sehen, dass es nichts zu sehen gibt? Das scheint manche Leute zu überfordern. Was nicht mundgerecht serviert wird, existiert nicht.
    Was bringt es dir, wenn unter dem Artikel nochmals steht, dass es keine weiteren Infos gibt?
    Dass du nicht selbst klicken und lesen musst?

    Die Lücke hat auf jeden Fall den Typ RCE ("Remote Code Execution"), ist also aus der Ferne ausnutzbar.
    In dem Google Bulletin steht übrigens nirgends, dass Google weitere Details nachreichen wird. Manche CVE Verzeichnisse zeigen einen Hinweis, weil es eine CVE Nummer gibt, aber in der Datenbank noch nichts eingetragen ist. Meines Wissens ist das aber kein Automatismus. Ich meine, auch schon CVEs ohne Beschreibung gesehen zu haben.

  15. wohl eher kein Website relevanter Bug

    Autor: Stepinsky 09.02.19 - 16:44

    Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien verändert wurden, um Manipulationen des Systems zu erkennen (Root, Malware etc).
    Der Fehler steckt in der Prüfung von manipulierten PNGs im "interlaced Format". Dabei konnte man Code in den Interlace Puffer schreiben, dessen Inhalt dann ungeprüft übernommen wurde. Daher gehe ich davon aus, dass der Fehler nicht über den Web-Browser ausnutzbar ist, sondern nur durch eine manipulierte Datei auf dem Gerät.

    Dass Google die Lücke als "aus der Ferne ausnutzbar" beschreibt, könnte sich daher auf böswillige Apps beziehen, die eine manipulierte PNG ins System herunterladen oder bei der Installation ins System schreiben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter (w/m/d) Forschungsgruppe CAROLL
    Universität Passau, Passau
  2. IT-Koordinator (m/w/d) Input-Output-Management im Bereich Beihilfe
    Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe
  3. IT-Spezialist (w/m/d)
    Kölner Verkehrs-Betriebe AG, Köln
  4. Product Owner (m/w/d) Software
    HDNET GmbH & Co. KG, Werther

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. mit 499€ neuer Bestpreis auf Geizhals
  2. 149€ (Bestpreis)
  3. (u. a. Bravia KE-65XH9077 65 Zoll für 827,38€ inkl. Versand)
  4. 150,50€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Allianz-CTO: Die Trennung von Arbeit und Freizeit ist antiquiert
Allianz-CTO
"Die Trennung von Arbeit und Freizeit ist antiquiert"

CTOs im Interview Profi-Trompeter war sein Traum - stattdessen wurde Markus Löffler Sysadmin, Physiker, Direktor von McKinsey und der erste CTO der Allianz Versicherung. Wie schafft man als Quereinsteiger so eine Karriere in der IT?
Ein Interview von Maja Hoock

  1. Jaroslaw Kroczek von Boldare "Gute Bezahlung reicht heute nicht mehr aus"

Corsair Sabre Pro (Wireless) im Test: Kabel oder kein Kabel, das ist die Frage
Corsair Sabre Pro (Wireless) im Test
Kabel oder kein Kabel, das ist die Frage

Sind kabelgebundene Mäuse wirklich noch besser? Wir zeigen Vor- und Nachteile anhand fast identischer Corsair-Mäuse mit und ohne Kabel.
Ein Test von Oliver Nickel

  1. Ocean Plastic Mouse Microsoft baut Maus mit recyceltem Ozeanplastik
  2. Zephyr Pro Diese Maus hat einen RGB-Lüfter
  3. Razer Orochi V2 Kompakte Maus nutzt Bluetooth und Akku-Trick

Vernetzung im Smart Home: Alles eins mit Thread und Matter
Vernetzung im Smart Home
Alles eins mit Thread und Matter

Mit Thread und Matter soll endlich etwas gelingen, woran bislang alle gescheitert sind: verschiedenste Smart-Home-Produkte zu einem Ökosystem zu verbinden.
Von Jan Rähm

  1. Wiz Signify bringt neue WLAN-Lampen
  2. Smarte Beleuchtung Wiz im Test Es muss nicht immer Philips Hue sein
  3. Smart Home Matter verzögert sich bis 2022