1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitspatches: Android lässt…

PNG auf Website?

  1. Thema

Neues Thema Ansicht wechseln


  1. PNG auf Website?

    Autor: FireEmerald 08.02.19 - 13:21

    Wie kann man solch einen Artikel verfassen und dann kein Wort darüber verlieren, in wie weit eine PNG Datei das System kompromitieren kann.

    Reicht es eine Website zu besuchen wo eine entsprechende PNG Datei platziert wurde aus?

    Muss man die PNG Datei explizit mit einer App öffnen?

    ...

  2. Re: PNG auf Website?

    Autor: torrbox 08.02.19 - 13:32

    Schon. Die wichtigste Information fehlt.

  3. Re: PNG auf Website?

    Autor: dantist 08.02.19 - 13:34

    +1

  4. Re: PNG auf Website?

    Autor: 1nformatik 08.02.19 - 13:36

    Ist halt Golem Standardqualität, irgendein Copy Paste Artikel und dafür auch noch Geld verlangen wollen.

  5. Re: PNG auf Website?

    Autor: neocron 08.02.19 - 13:37

    und trotzdem bist du noch hier? wtf?

  6. Re: PNG auf Website?

    Autor: Noren 08.02.19 - 13:41

    Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert und nicht das Android System. Über Mails, Chats, etc. sollte man aber verwundbar sein.

  7. Re: PNG auf Website?

    Autor: M.P. 08.02.19 - 13:55

    Da könnte es Unterschiede geben.
    Der "Browser", der älteren Android Versionen beiliegt wird womöglich auf die System-Bibliotheken zugreifen.
    Chrome, oder ein Browser aus der Store könnte da eigenes Werkzeug für PNGs mitbringen ...

  8. Re: PNG auf Website?

    Autor: Usernäme 08.02.19 - 14:00

    Das erfahrt ihr in der nächsten Folge.
    Bleiben sie dran!

  9. Re: PNG auf Website?

    Autor: toastedLinux 08.02.19 - 14:06

    Google hat nicht genau beschrieben wie und was das Problem ist, die CVE Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest wird erst in den nächsten Tagen veröffentlicht.

  10. Re: PNG auf Website?

    Autor: Z101 08.02.19 - 14:10

    toastedLinux schrieb:
    --------------------------------------------------------------------------------
    > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG
    > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > wird erst in den nächsten Tagen veröffentlicht.

    Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ich denke mit solchen Artikeln bekommt man kurzfristig einige Klicks aber verliert langfristig Leser die sich genervt abwenden.

  11. Re: PNG auf Website?

    Autor: sg (Golem.de) 08.02.19 - 14:51

    Ich bin davon ausgegangen, dass die Information "Android-Betriebssystem" ausreicht.
    Im Text steht jetzt zusätzlich dazu noch Android-Framework, was die Java-APIs meint. Jede App, die das Framework zum Anzeigen von PNGs nutzt, kann damit also theoretisch zum Ausnutzen der Lücke genutzt werden.

    ---------
    Sebastian Grüner

    Golem.de

  12. Re: PNG auf Website?

    Autor: Sh3rlock 09.02.19 - 08:33

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert
    > und nicht das Android System. Über Mails, Chats, etc. sollte man aber
    > verwundbar sein.


    Wobei zb Whatsapp Bilder doch häufig komprimiert und der Schadcode dadurch (vermutlich) verloren geht

  13. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:08

    1nformatik schrieb:
    --------------------------------------------------------------------------------
    > Ist halt Golem Standardqualität, irgendein Copy Paste Artikel

    Ist halt 1nformatik Standarqualität: Meckern, statt selber recherchieren.
    Wenn du die verlinkte Google Seite aufgerufen hättest, könntest du vielleicht sogar sehen, dass es keinerlei nähere Infos zu der Lücke gibt. Die CVE Nummer ist vergeben, aber es gibt keine Beschreibung dazu.
    Also: was soll Golem daraus machen, deiner Meinung nach?

    > und dafür auch noch Geld verlangen wollen.
    Ja, wenn dich es nervt: lese einfach woanders oder mach es selbst besser.

  14. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:19

    Z101 schrieb:
    --------------------------------------------------------------------------------
    > toastedLinux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen
    > BUG
    > > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > > wird erst in den nächsten Tagen veröffentlicht.
    >
    > Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach
    > der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ist es so schwer einen Link anzuklicken und zu sehen, dass es nichts zu sehen gibt? Das scheint manche Leute zu überfordern. Was nicht mundgerecht serviert wird, existiert nicht.
    Was bringt es dir, wenn unter dem Artikel nochmals steht, dass es keine weiteren Infos gibt?
    Dass du nicht selbst klicken und lesen musst?

    Die Lücke hat auf jeden Fall den Typ RCE ("Remote Code Execution"), ist also aus der Ferne ausnutzbar.
    In dem Google Bulletin steht übrigens nirgends, dass Google weitere Details nachreichen wird. Manche CVE Verzeichnisse zeigen einen Hinweis, weil es eine CVE Nummer gibt, aber in der Datenbank noch nichts eingetragen ist. Meines Wissens ist das aber kein Automatismus. Ich meine, auch schon CVEs ohne Beschreibung gesehen zu haben.

  15. wohl eher kein Website relevanter Bug

    Autor: Stepinsky 09.02.19 - 16:44

    Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien verändert wurden, um Manipulationen des Systems zu erkennen (Root, Malware etc).
    Der Fehler steckt in der Prüfung von manipulierten PNGs im "interlaced Format". Dabei konnte man Code in den Interlace Puffer schreiben, dessen Inhalt dann ungeprüft übernommen wurde. Daher gehe ich davon aus, dass der Fehler nicht über den Web-Browser ausnutzbar ist, sondern nur durch eine manipulierte Datei auf dem Gerät.

    Dass Google die Lücke als "aus der Ferne ausnutzbar" beschreibt, könnte sich daher auf böswillige Apps beziehen, die eine manipulierte PNG ins System herunterladen oder bei der Installation ins System schreiben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über Dr. Maier & Partner GmbH Executive Search, Stuttgart
  2. Witzenmann GmbH, Pforzheim
  3. Parador GmbH & Co. KG, Coesfeld
  4. AKAFÖ ? Akademisches Förderungswerk, AöR, Bochum

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. San José Bosch und Daimler starten autonomen Taxidienst
  2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

Quantencomputer: Intel entwickelt coolen Chip für heiße Quantenbits
Quantencomputer
Intel entwickelt coolen Chip für heiße Quantenbits

Gebaut für eine Kühlung mit flüssigem Helium ist Horse Ridge wohl der coolste Chip, den Intel zur Zeit in Entwicklung hat. Er soll einen Quantencomputer steuern, dessen Qubits mit ungewöhnlich hohen Temperaturen zurechtkommen.
Von Frank Wunderlich-Pfeiffer

  1. AWS re:Invent Amazon Web Services bietet Quanten-Cloud-Dienst an
  2. Quantencomputer 10.000 Jahre bei Google sind 2,5 Tage bei IBM
  3. Google Ein Quantencomputer zeigt, was derzeit geht und was nicht

  1. Bundesrechnungshof: Behörden gaben für eigene Apps Millionen Euro aus
    Bundesrechnungshof
    Behörden gaben für eigene Apps Millionen Euro aus

    Bundesbehörden haben mehrere Millionen Euro für eigene Apps ausgegeben. Der Bundesrechnungshof will diese abschalten lassen, wenn der Betrieb weitere Kosten verursacht.

  2. Riot Games: Schatteninseln und Zeitreisen mit League of Legends
    Riot Games
    Schatteninseln und Zeitreisen mit League of Legends

    Zwei sehr unterschiedliche Abenteuer für Einzelspieler hat Riot Games vorgestellt - beide sind in der Welt von League of Legends angesiedelt. In Ruined King erkunden die Champions die mysteriösen Schatteninseln, Conv/Rgence beschäftigt sich mit Zeitmanipulation.

  3. Energiewende: Dänemark plant künstliche Insel für Wasserstofferzeugung
    Energiewende
    Dänemark plant künstliche Insel für Wasserstofferzeugung

    Dänemark will seine klimaschädlichen Emissionen bis 2030 um 70 Prozent reduzieren. Eine Maßnahme ist der weitere Ausbau der Windenergie. Die Regierung plant einen riesigen Windpark mit angeschlossener Power-To-X-Anlage auf einer künstlichen Insel.


  1. 18:10

  2. 16:56

  3. 15:32

  4. 14:52

  5. 14:00

  6. 13:26

  7. 13:01

  8. 12:15