1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitspatches: Android lässt…

PNG auf Website?

  1. Thema

Neues Thema Ansicht wechseln


  1. PNG auf Website?

    Autor: FireEmerald 08.02.19 - 13:21

    Wie kann man solch einen Artikel verfassen und dann kein Wort darüber verlieren, in wie weit eine PNG Datei das System kompromitieren kann.

    Reicht es eine Website zu besuchen wo eine entsprechende PNG Datei platziert wurde aus?

    Muss man die PNG Datei explizit mit einer App öffnen?

    ...

  2. Re: PNG auf Website?

    Autor: torrbox 08.02.19 - 13:32

    Schon. Die wichtigste Information fehlt.

  3. Re: PNG auf Website?

    Autor: dantist 08.02.19 - 13:34

    +1

  4. Re: PNG auf Website?

    Autor: 1nformatik 08.02.19 - 13:36

    Ist halt Golem Standardqualität, irgendein Copy Paste Artikel und dafür auch noch Geld verlangen wollen.

  5. Re: PNG auf Website?

    Autor: neocron 08.02.19 - 13:37

    und trotzdem bist du noch hier? wtf?

  6. Re: PNG auf Website?

    Autor: Noren 08.02.19 - 13:41

    Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert und nicht das Android System. Über Mails, Chats, etc. sollte man aber verwundbar sein.

  7. Re: PNG auf Website?

    Autor: M.P. 08.02.19 - 13:55

    Da könnte es Unterschiede geben.
    Der "Browser", der älteren Android Versionen beiliegt wird womöglich auf die System-Bibliotheken zugreifen.
    Chrome, oder ein Browser aus der Store könnte da eigenes Werkzeug für PNGs mitbringen ...

  8. Re: PNG auf Website?

    Autor: Usernäme 08.02.19 - 14:00

    Das erfahrt ihr in der nächsten Folge.
    Bleiben sie dran!

  9. Re: PNG auf Website?

    Autor: toastedLinux 08.02.19 - 14:06

    Google hat nicht genau beschrieben wie und was das Problem ist, die CVE Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest wird erst in den nächsten Tagen veröffentlicht.

  10. Re: PNG auf Website?

    Autor: Z101 08.02.19 - 14:10

    toastedLinux schrieb:
    --------------------------------------------------------------------------------
    > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG
    > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > wird erst in den nächsten Tagen veröffentlicht.

    Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ich denke mit solchen Artikeln bekommt man kurzfristig einige Klicks aber verliert langfristig Leser die sich genervt abwenden.

  11. Re: PNG auf Website?

    Autor: sg (Golem.de) 08.02.19 - 14:51

    Ich bin davon ausgegangen, dass die Information "Android-Betriebssystem" ausreicht.
    Im Text steht jetzt zusätzlich dazu noch Android-Framework, was die Java-APIs meint. Jede App, die das Framework zum Anzeigen von PNGs nutzt, kann damit also theoretisch zum Ausnutzen der Lücke genutzt werden.

    ---------
    Sebastian Grüner

    Golem.de

  12. Re: PNG auf Website?

    Autor: Sh3rlock 09.02.19 - 08:33

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert
    > und nicht das Android System. Über Mails, Chats, etc. sollte man aber
    > verwundbar sein.


    Wobei zb Whatsapp Bilder doch häufig komprimiert und der Schadcode dadurch (vermutlich) verloren geht

  13. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:08

    1nformatik schrieb:
    --------------------------------------------------------------------------------
    > Ist halt Golem Standardqualität, irgendein Copy Paste Artikel

    Ist halt 1nformatik Standarqualität: Meckern, statt selber recherchieren.
    Wenn du die verlinkte Google Seite aufgerufen hättest, könntest du vielleicht sogar sehen, dass es keinerlei nähere Infos zu der Lücke gibt. Die CVE Nummer ist vergeben, aber es gibt keine Beschreibung dazu.
    Also: was soll Golem daraus machen, deiner Meinung nach?

    > und dafür auch noch Geld verlangen wollen.
    Ja, wenn dich es nervt: lese einfach woanders oder mach es selbst besser.

  14. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:19

    Z101 schrieb:
    --------------------------------------------------------------------------------
    > toastedLinux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen
    > BUG
    > > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > > wird erst in den nächsten Tagen veröffentlicht.
    >
    > Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach
    > der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ist es so schwer einen Link anzuklicken und zu sehen, dass es nichts zu sehen gibt? Das scheint manche Leute zu überfordern. Was nicht mundgerecht serviert wird, existiert nicht.
    Was bringt es dir, wenn unter dem Artikel nochmals steht, dass es keine weiteren Infos gibt?
    Dass du nicht selbst klicken und lesen musst?

    Die Lücke hat auf jeden Fall den Typ RCE ("Remote Code Execution"), ist also aus der Ferne ausnutzbar.
    In dem Google Bulletin steht übrigens nirgends, dass Google weitere Details nachreichen wird. Manche CVE Verzeichnisse zeigen einen Hinweis, weil es eine CVE Nummer gibt, aber in der Datenbank noch nichts eingetragen ist. Meines Wissens ist das aber kein Automatismus. Ich meine, auch schon CVEs ohne Beschreibung gesehen zu haben.

  15. wohl eher kein Website relevanter Bug

    Autor: Stepinsky 09.02.19 - 16:44

    Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien verändert wurden, um Manipulationen des Systems zu erkennen (Root, Malware etc).
    Der Fehler steckt in der Prüfung von manipulierten PNGs im "interlaced Format". Dabei konnte man Code in den Interlace Puffer schreiben, dessen Inhalt dann ungeprüft übernommen wurde. Daher gehe ich davon aus, dass der Fehler nicht über den Web-Browser ausnutzbar ist, sondern nur durch eine manipulierte Datei auf dem Gerät.

    Dass Google die Lücke als "aus der Ferne ausnutzbar" beschreibt, könnte sich daher auf böswillige Apps beziehen, die eine manipulierte PNG ins System herunterladen oder bei der Installation ins System schreiben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Max Planck Institute for Human Development, Berlin
  2. Deutsche Rentenversicherung Bund, Berlin
  3. Reload HR, Kriftel
  4. Nord-Micro GmbH & Co. OHG a part of Collins Aerospace, Karlsfeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 38,00€ (bei ubi.com)
  2. 319,00€ (Bestpreis)
  3. 31,49€
  4. (u. a. Die Siedler History Collection 19,99€, Anno 1800 Gold Edition für 38,00€, Tom Clancy's...


Haben wir etwas übersehen?

E-Mail an news@golem.de


30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

  1. Deutsche Bahn: Träges Betriebssystem des neuen IC2 verzögert Zugfahrten
    Deutsche Bahn
    Träges Betriebssystem des neuen IC2 verzögert Zugfahrten

    Etwa eine Stunde soll es dauern, einen IC2 komplett hochzufahren. Dabei sind die Züge für viel Geld erst neu eingeführt worden. Derzeit sorgt das problematische Betriebssystem an Bord für Frust bei der Deutschen Bahn und den Fahrgästen.

  2. EU-Instrumentarium: EU lässt Huawei bei 5G mit Einschränkungen zu
    EU-Instrumentarium
    EU lässt Huawei bei 5G mit Einschränkungen zu

    Die EU-Kommission beschließt erhöhte Sicherheitsanforderungen für 5G, schließt aber keinen Anbieter pauschal aus. Huawei äußert sich erfreut über die Entscheidung.

  3. Smartphones und Tablets: Neuer EU-Vorstoß für einheitliche Ladekabel
    Smartphones und Tablets
    Neuer EU-Vorstoß für einheitliche Ladekabel

    Die EU-Kommission will einen neuen Vorstoß für einheitliche Smartphone-Ladekabel unternehmen. Damit soll auch Elektronikschrott reduziert werden. Vor allem Apple sträubt sich seit Jahren dagegen.


  1. 14:59

  2. 14:41

  3. 14:22

  4. 14:01

  5. 13:41

  6. 13:17

  7. 12:27

  8. 12:05