Update für Bildbetrachter

Sicherheitslücken in Xnview geschlossen

Der kostenlose Bildbetrachter Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code verfügbar.

Xnview bekommt ein Update auf Version 2.04.

© Screenshot: Frank Ziemann

Xnview bekommt ein Update auf Version 2.04.

Xnview ist ein für private Nutzung kostenloser Bildbetrachter, der Fotos und Grafiken in nahezu allen gängigen Bitmap-Formaten anzeigen, skalieren und ineinander konvertieren kann. Zum Funktionsumfang gehören auch Stapelverarbeitung, Dia-Show und Korrekturfilter. In der kürzlich freigegebenen Version 2.04 hat der Entwickler Pierre-E. Gougelet mehrere Schwachstellen sowie einen Fehler beim Öffnen mancher PDF-Dateien beseitigt.

Das Sicherheitsunternehmen Core Security hat einen Pufferüberlauf entdeckt, der beim Öffnen speziell präparierter PICT-Bilder auftreten kann. Ein Angreifer könnte mit einer solchen Datei schädlichen Code einschleusen und ausführen. Dazu muss er den Benutzer nur dazu bringen, eine präparierte PICT-Datei zu öffnen. Ricardo Narvaja hat diese Lücke entdeckt und einen Demo-Exploit dafür erstellt. Der Exploit-Code ist zusammen mit der Sicherheitsmeldung zur Schwachstelle durch seinen Arbeitgeber, Core Security, veröffentlicht worden.

Das dänische Sicherheitsunternehmen Secunia meldet zwei weitere Schwachstellen in Xnview, die Krystian Kloskowski entdeckt hat. In der Programmbibliothek xfpx.dll kann ein Ganzzahlüberlauf auftreten, wenn FPX-Bilder (Kodak FlashPix) geöffnet werden. Mit einer präparierten FPX-Datei könnte ein Angreifer diese Lücke nutzen, um Code einzuschleusen. Gleiches gilt für PSP-Dateien (PaintShop Pro), bei denen ein Pufferüberlauf provoziert werden kann.

Da der Exploit-Code für die erstgenannte Lücke öffentlich verfügbar ist, kann im Prinzip Jedermann versuchen, Benutzer bisheriger Xnview-Versionen anzugreifen. Daher ist ein Update auf die aktuelle Version 2.04 zu empfehlen, in der die drei Schwachstellen beseitigt sind.