Update für Bildbetrachter

Sicherheitslücken in Xnview geschlossen

Der kostenlose Bildbetrachter Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code verfügbar.

© Screenshot: Frank Ziemann

Xnview bekommt ein Update auf Version 2.04.

Xnview ist ein für private Nutzung kostenloser Bildbetrachter, der Fotos und Grafiken in nahezu allen gängigen Bitmap-Formaten anzeigen, skalieren und ineinander konvertieren kann. Zum Funktionsumfang gehören auch Stapelverarbeitung, Dia-Show und Korrekturfilter. In der kürzlich freigegebenen Version 2.04 hat der Entwickler Pierre-E. Gougelet mehrere Schwachstellen sowie einen Fehler beim Öffnen mancher PDF-Dateien beseitigt.

Das Sicherheitsunternehmen Core Security hat einen Pufferüberlauf entdeckt, der beim Öffnen speziell präparierter PICT-Bilder auftreten kann. Ein Angreifer könnte mit einer solchen Datei schädlichen Code einschleusen und ausführen. Dazu muss er den Benutzer nur dazu bringen, eine präparierte PICT-Datei zu öffnen. Ricardo Narvaja hat diese Lücke entdeckt und einen Demo-Exploit dafür erstellt. Der Exploit-Code ist zusammen mit der Sicherheitsmeldung zur Schwachstelle durch seinen Arbeitgeber, Core Security, veröffentlicht worden.

Das dänische Sicherheitsunternehmen Secunia meldet zwei weitere Schwachstellen in Xnview, die Krystian Kloskowski entdeckt hat. In der Programmbibliothek xfpx.dll kann ein Ganzzahlüberlauf auftreten, wenn FPX-Bilder (Kodak FlashPix) geöffnet werden. Mit einer präparierten FPX-Datei könnte ein Angreifer diese Lücke nutzen, um Code einzuschleusen. Gleiches gilt für PSP-Dateien (PaintShop Pro), bei denen ein Pufferüberlauf provoziert werden kann.

Da der Exploit-Code für die erstgenannte Lücke öffentlich verfügbar ist, kann im Prinzip Jedermann versuchen, Benutzer bisheriger Xnview-Versionen anzugreifen. Daher ist ein Update auf die aktuelle Version 2.04 zu empfehlen, in der die drei Schwachstellen beseitigt sind.

Mehr zum Thema

Vorsicht vor FLV-Videos

Der VLC Player hat seit über zwei Monaten Sicherheitslücken, durch die Angreifer via Flash- oder MPEG-Videos Schadcode ausführen können.
Wegen Förderung von Piraterie

Die beliebte Media-Player-App Kodi (XBMC) gibt es nicht mehr im App-Store von Amazon. Der Grund: Förderung von Piraterie.
iOS & Mac OS X angreifbar

Apple kündigt an, die Xara-Sicherheitslücken in iOS zu schließen. Mit diesen konnten Cyberkriminelle Daten aus iOS und Mac OS X stehlen.
Sichere Whatsapp-Alternative

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.
Nutzerdaten in Gefahr

VPN-Tools haben Sicherheitslücken. Nutzerdaten können offengelegt werden. Schuld sind neben den Entwicklern die Provider und Betriebssystemhersteller.