Update für Bildbetrachter

Sicherheitslücken in Xnview geschlossen

Der kostenlose Bildbetrachter Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code verfügbar.

Xnview bekommt ein Update auf Version 2.04.

© Screenshot: Frank Ziemann

Xnview bekommt ein Update auf Version 2.04.

Xnview ist ein für private Nutzung kostenloser Bildbetrachter, der Fotos und Grafiken in nahezu allen gängigen Bitmap-Formaten anzeigen, skalieren und ineinander konvertieren kann. Zum Funktionsumfang gehören auch Stapelverarbeitung, Dia-Show und Korrekturfilter. In der kürzlich freigegebenen Version 2.04 hat der Entwickler Pierre-E. Gougelet mehrere Schwachstellen sowie einen Fehler beim Öffnen mancher PDF-Dateien beseitigt.

Das Sicherheitsunternehmen Core Security hat einen Pufferüberlauf entdeckt, der beim Öffnen speziell präparierter PICT-Bilder auftreten kann. Ein Angreifer könnte mit einer solchen Datei schädlichen Code einschleusen und ausführen. Dazu muss er den Benutzer nur dazu bringen, eine präparierte PICT-Datei zu öffnen. Ricardo Narvaja hat diese Lücke entdeckt und einen Demo-Exploit dafür erstellt. Der Exploit-Code ist zusammen mit der Sicherheitsmeldung zur Schwachstelle durch seinen Arbeitgeber, Core Security, veröffentlicht worden.

Das dänische Sicherheitsunternehmen Secunia meldet zwei weitere Schwachstellen in Xnview, die Krystian Kloskowski entdeckt hat. In der Programmbibliothek xfpx.dll kann ein Ganzzahlüberlauf auftreten, wenn FPX-Bilder (Kodak FlashPix) geöffnet werden. Mit einer präparierten FPX-Datei könnte ein Angreifer diese Lücke nutzen, um Code einzuschleusen. Gleiches gilt für PSP-Dateien (PaintShop Pro), bei denen ein Pufferüberlauf provoziert werden kann.

Da der Exploit-Code für die erstgenannte Lücke öffentlich verfügbar ist, kann im Prinzip Jedermann versuchen, Benutzer bisheriger Xnview-Versionen anzugreifen. Daher ist ein Update auf die aktuelle Version 2.04 zu empfehlen, in der die drei Schwachstellen beseitigt sind.

Mehr zum Thema

Wir testen das nützliche Programm Jing, die Software ist kostenlos.
Testbericht

Die Freeware Jing schneidet alle Abläufe auf dem Monitor mit. PCM Professional überprüft im Test, wie zuverlässig das klappt.
Wir verlosen einen von zehn Keys für das Bildbearbeitungs-Tool.
Ein-Klick-Optimierung für Fotos

Zusammen mit Ashampoo verlosen wir zehn Keys für den Photo Optimizer 6. Nehmen Sie jetzt auf Facebook an unserem Gewinnspiel teil.
Filme archivieren: Symbolbild
Vorsicht vor FLV-Videos

Der VLC Player hat seit über zwei Monaten Sicherheitslücken, durch die Angreifer via Flash- oder MPEG-Videos Schadcode ausführen können.
Adobe Photoshop Lightroom 6 CC
Adobe Photoshop CC

Lightroom CC aus der Cloud gibt es nur im Abo mit Photoshop und jetzt auch für Android. Im Test läuft Lightroom 6 rasend schnell.
Windows 10 Sicherheit: Symbolbild
Updates sperren

Windows 10 Home installiert Windows Updates automatisch - für Nutzer nicht immer optimal. Ein Microsoft-Tool erlaubt nun doch mehr Kontrolle.