Update für Bildbetrachter

Sicherheitslücken in Xnview geschlossen

Der kostenlose Bildbetrachter Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code verfügbar.

News
Xnview bekommt ein Update auf Version 2.04.
Xnview bekommt ein Update auf Version 2.04.
© Screenshot: Frank Ziemann

Xnview ist ein für private Nutzung kostenloser Bildbetrachter, der Fotos und Grafiken in nahezu allen gängigen Bitmap-Formaten anzeigen, skalieren und ineinander konvertieren kann. Zum Funktionsumfang gehören auch Stapelverarbeitung, Dia-Show und Korrekturfilter. In der kürzlich freigegebenen Version 2.04 hat der Entwickler Pierre-E. Gougelet mehrere Schwachstellen sowie einen Fehler beim Öffnen mancher PDF-Dateien beseitigt.

Das Sicherheitsunternehmen Core Security hat einen Pufferüberlauf entdeckt, der beim Öffnen speziell präparierter PICT-Bilder auftreten kann. Ein Angreifer könnte mit einer solchen Datei schädlichen Code einschleusen und ausführen. Dazu muss er den Benutzer nur dazu bringen, eine präparierte PICT-Datei zu öffnen. Ricardo Narvaja hat diese Lücke entdeckt und einen Demo-Exploit dafür erstellt. Der Exploit-Code ist zusammen mit der Sicherheitsmeldung zur Schwachstelle durch seinen Arbeitgeber, Core Security, veröffentlicht worden.

Das dänische Sicherheitsunternehmen Secunia meldet zwei weitere Schwachstellen in Xnview, die Krystian Kloskowski entdeckt hat. In der Programmbibliothek xfpx.dll kann ein Ganzzahlüberlauf auftreten, wenn FPX-Bilder (Kodak FlashPix) geöffnet werden. Mit einer präparierten FPX-Datei könnte ein Angreifer diese Lücke nutzen, um Code einzuschleusen. Gleiches gilt für PSP-Dateien (PaintShop Pro), bei denen ein Pufferüberlauf provoziert werden kann.

Da der Exploit-Code für die erstgenannte Lücke öffentlich verfügbar ist, kann im Prinzip Jedermann versuchen, Benutzer bisheriger Xnview-Versionen anzugreifen. Daher ist ein Update auf die aktuelle Version 2.04 zu empfehlen, in der die drei Schwachstellen beseitigt sind.

24.7.2013 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Filme archivieren: Symbolbild

Vorsicht vor FLV-Videos

VLC Player mit kritischen Sicherheitslücken

Der VLC Player hat seit über zwei Monaten Sicherheitslücken, durch die Angreifer via Flash- oder MPEG-Videos Schadcode ausführen können.

Kodi-Logo XBMC

Wegen Förderung von Piraterie

Amazon entfernt Kodi (XBMC) aus dem App Store

Die beliebte Media-Player-App Kodi (XBMC) gibt es nicht mehr im App-Store von Amazon. Der Grund: Förderung von Piraterie.

Apple iTunes

iOS & Mac OS X angreifbar

Xara-Sicherheitslücke in iPhone, iPad und Co. wird gefixt

Apple kündigt an, die Xara-Sicherheitslücken in iOS zu schließen. Mit diesen konnten Cyberkriminelle Daten aus iOS und Mac OS X stehlen.

Threema Logo

Sichere Whatsapp-Alternative

Threema bis Sonntag für 99 Cent für iOS, Android und Windows…

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.

Neue Snowden-Enthüllungen offenbaren eine deutsche Beteiligung.

Nutzerdaten in Gefahr

VPN-Tools - Sicherheitslücke wegen IPv6-Umstellung

VPN-Tools haben Sicherheitslücken. Nutzerdaten können offengelegt werden. Schuld sind neben den Entwicklern die Provider und Betriebssystemhersteller.