1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Sicherheitspatches: Android…

PNG auf Website?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. PNG auf Website?

    Autor: FireEmerald 08.02.19 - 13:21

    Wie kann man solch einen Artikel verfassen und dann kein Wort darüber verlieren, in wie weit eine PNG Datei das System kompromitieren kann.

    Reicht es eine Website zu besuchen wo eine entsprechende PNG Datei platziert wurde aus?

    Muss man die PNG Datei explizit mit einer App öffnen?

    ...

  2. Re: PNG auf Website?

    Autor: torrbox 08.02.19 - 13:32

    Schon. Die wichtigste Information fehlt.

  3. Re: PNG auf Website?

    Autor: dantist 08.02.19 - 13:34

    +1

  4. Re: PNG auf Website?

    Autor: 1nformatik 08.02.19 - 13:36

    Ist halt Golem Standardqualität, irgendein Copy Paste Artikel und dafür auch noch Geld verlangen wollen.

  5. Re: PNG auf Website?

    Autor: neocron 08.02.19 - 13:37

    und trotzdem bist du noch hier? wtf?

  6. Re: PNG auf Website?

    Autor: Noren 08.02.19 - 13:41

    Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert und nicht das Android System. Über Mails, Chats, etc. sollte man aber verwundbar sein.

  7. Re: PNG auf Website?

    Autor: M.P. 08.02.19 - 13:55

    Da könnte es Unterschiede geben.
    Der "Browser", der älteren Android Versionen beiliegt wird womöglich auf die System-Bibliotheken zugreifen.
    Chrome, oder ein Browser aus der Store könnte da eigenes Werkzeug für PNGs mitbringen ...

  8. Re: PNG auf Website?

    Autor: Usernäme 08.02.19 - 14:00

    Das erfahrt ihr in der nächsten Folge.
    Bleiben sie dran!

  9. Re: PNG auf Website?

    Autor: toastedLinux 08.02.19 - 14:06

    Google hat nicht genau beschrieben wie und was das Problem ist, die CVE Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest wird erst in den nächsten Tagen veröffentlicht.

  10. Re: PNG auf Website?

    Autor: Z101 08.02.19 - 14:10

    toastedLinux schrieb:
    --------------------------------------------------------------------------------
    > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen BUG
    > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > wird erst in den nächsten Tagen veröffentlicht.

    Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ich denke mit solchen Artikeln bekommt man kurzfristig einige Klicks aber verliert langfristig Leser die sich genervt abwenden.

  11. Re: PNG auf Website?

    Autor: sg (Golem.de) 08.02.19 - 14:51

    Ich bin davon ausgegangen, dass die Information "Android-Betriebssystem" ausreicht.
    Im Text steht jetzt zusätzlich dazu noch Android-Framework, was die Java-APIs meint. Jede App, die das Framework zum Anzeigen von PNGs nutzt, kann damit also theoretisch zum Ausnutzen der Lücke genutzt werden.

    ---------
    Sebastian Grüner

    Golem.de

  12. Re: PNG auf Website?

    Autor: Sh3rlock 09.02.19 - 08:33

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Ich denke nicht das eine Webseite reicht, da der Browser das Bild rendert
    > und nicht das Android System. Über Mails, Chats, etc. sollte man aber
    > verwundbar sein.


    Wobei zb Whatsapp Bilder doch häufig komprimiert und der Schadcode dadurch (vermutlich) verloren geht

  13. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:08

    1nformatik schrieb:
    --------------------------------------------------------------------------------
    > Ist halt Golem Standardqualität, irgendein Copy Paste Artikel

    Ist halt 1nformatik Standarqualität: Meckern, statt selber recherchieren.
    Wenn du die verlinkte Google Seite aufgerufen hättest, könntest du vielleicht sogar sehen, dass es keinerlei nähere Infos zu der Lücke gibt. Die CVE Nummer ist vergeben, aber es gibt keine Beschreibung dazu.
    Also: was soll Golem daraus machen, deiner Meinung nach?

    > und dafür auch noch Geld verlangen wollen.
    Ja, wenn dich es nervt: lese einfach woanders oder mach es selbst besser.

  14. Re: PNG auf Website?

    Autor: Stepinsky 09.02.19 - 15:19

    Z101 schrieb:
    --------------------------------------------------------------------------------
    > toastedLinux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google hat nicht genau beschrieben wie und was das Problem ist, die CVE
    > > Nummern haben sie sich nur reserviert und draufgeschrieben "über einen
    > BUG
    > > bei PNGs kann man höhere Rechte erhalten". Sonst nichts weiter, der Rest
    > > wird erst in den nächsten Tagen veröffentlicht.
    >
    > Warum stehen solche Informationen nicht im Artikel? Statt dessen kommt nach
    > der reißerisch en Überschrift nur noch belangloses Geschreibsel.

    Ist es so schwer einen Link anzuklicken und zu sehen, dass es nichts zu sehen gibt? Das scheint manche Leute zu überfordern. Was nicht mundgerecht serviert wird, existiert nicht.
    Was bringt es dir, wenn unter dem Artikel nochmals steht, dass es keine weiteren Infos gibt?
    Dass du nicht selbst klicken und lesen musst?

    Die Lücke hat auf jeden Fall den Typ RCE ("Remote Code Execution"), ist also aus der Ferne ausnutzbar.
    In dem Google Bulletin steht übrigens nirgends, dass Google weitere Details nachreichen wird. Manche CVE Verzeichnisse zeigen einen Hinweis, weil es eine CVE Nummer gibt, aber in der Datenbank noch nichts eingetragen ist. Meines Wissens ist das aber kein Automatismus. Ich meine, auch schon CVEs ohne Beschreibung gesehen zu haben.

  15. wohl eher kein Website relevanter Bug

    Autor: Stepinsky 09.02.19 - 16:44

    Der Fehler tritt bei der SafetyNet Prüfung auf. SafetyNet prüft auf dem Gerät, ob Dateien verändert wurden, um Manipulationen des Systems zu erkennen (Root, Malware etc).
    Der Fehler steckt in der Prüfung von manipulierten PNGs im "interlaced Format". Dabei konnte man Code in den Interlace Puffer schreiben, dessen Inhalt dann ungeprüft übernommen wurde. Daher gehe ich davon aus, dass der Fehler nicht über den Web-Browser ausnutzbar ist, sondern nur durch eine manipulierte Datei auf dem Gerät.

    Dass Google die Lücke als "aus der Ferne ausnutzbar" beschreibt, könnte sich daher auf böswillige Apps beziehen, die eine manipulierte PNG ins System herunterladen oder bei der Installation ins System schreiben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Generalist (m/w/d)
    Hays AG, Göppingen
  2. IT Systemadministrator (m/w/d)
    htp GmbH, Hannover
  3. IT-Systemadministrator (m/w/d)
    Stadt Nürtingen, Nürtingen
  4. Scrum Master (m/w/d)
    Vodafone GmbH, Düsseldorf

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 15,99€
  2. 16,49€
  3. (u. a. Special Edition PS5 für 69,99€, Deluxe Edition Xbox Series X/S für 99,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Probefahrt mit BMW iX: Außen pfui, innen hui
Probefahrt mit BMW iX
Außen pfui, innen hui

Am Design des BMW iX scheiden sich die Geister. Technisch kann das vollelektrische SUV aber in fast jeder Hinsicht mithalten.
Ein Test von Friedhelm Greis

  1. Brandenburg Firma will Anlage für batteriefähiges Lithiumhydroxid bauen
  2. Probefahrt mit Manta GSe Elektromod Boah ey, "der ist fantastisch"
  3. Lunaz Elektroversion des Oldtimers Aston Martin DB6 vorgestellt

Astrofotografie: Der Himmel so nah
Astrofotografie
Der Himmel so nah

Wer den Nachthimmel fotografiert, erfasst viel mehr als mit bloßem Auge. Wir geben Tipps für den Einstieg in das faszinierende Hobby Astrofotografie.
Eine Anleitung von Mario Keller


    Bluetooth-Lautsprecher LSPX-S3 im Test: Sonys Glaskolben-Lampe rockt
    Bluetooth-Lautsprecher LSPX-S3 im Test
    Sonys Glaskolben-Lampe rockt

    Sonys neuer Bluetooth-Lautsprecher unterstützt Musik mit stimmungsvoller Beleuchtung - ein ungewöhnliches Gerät mit nur wenigen Schwächen.
    Ein Test von Ingo Pakalski

    1. Zoomobjektiv Sony bringt FE 70-200mm F2.8 GM OSS II mit rund 1 kg Gewicht
    2. Playstation Sony patentiert Auswirkungen von Spielegewalt
    3. ZV-E10 Sony bringt spiegellose Systemkamera für Youtuber

    1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
      Microsoft
      Xbox-Kühlschrank kostet 100 Euro

      Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

    2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
      Silicon Valley
      Apple entlässt #Appletoo-Aktivistin

      Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

    3. Drucker: Ohne Tinte kein Scan - Klage gegen Canon
      Drucker
      Ohne Tinte kein Scan - Klage gegen Canon

      In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.


    1. 14:32

    2. 13:56

    3. 12:47

    4. 12:27

    5. 11:59

    6. 11:30

    7. 11:18

    8. 11:02