Link alla notizia: http://news.hwupgrade.it/12960.html

Individuata una vulnerabilità nella libreria libPNG, basilare per l'interpretazione delle immagini in formato Portable Network Graphics

Click sul link per visualizzare la notizia.

dove scarico la patch?

Alle 9:45 leggo: "...il W3C è stato inserito come specifica W3C...". ;)

il .png si distingue anche per il fatto che non si chiedono royalties a differenza del .gif

Anche il gif è diventato libero, proprio 4 mesi fa.

Ehm... veramente le nuove versioni di Mozilla, Firefox e Thunderbird sono già arrivate la settimana scorsa; praticamente il giorno dopo la segnalazione del problem! :)

Bye!

Indipendentemente dal discorso royalties, il bello del PNG sta nel fatto che è terribilmente più efficente e versatile del GIF: non è raro convertire un GIF in PNG e ritrovarsi con un file di dimensioni dimezzate.

Bye!

Ma tecnicamente come fa ad esserci un exploit in una immagine ?! Fra poco non si potra' manco piu' aprire un txt col notepad ?! ;_;

Il problema non sta nel file ma nella libreria che viene utilizzata da svariati programmi per poterlo gestire. La cosa è ben diversa :)

Mark0 wrote:
> [...] non è raro convertire un GIF in PNG e
> ritrovarsi con un file di dimensioni dimezzate

Attento pero' a cosa usi per fare la conversione: The GIMP e' di gran lunga il migliore, mentre Paint Shop Pro 7 (la 8 l'ho installata da poco ma non ancora avuto il tempo di provarla) e Photoshop 7 fanno letteralmente pena per quanto concerne la loro implementazione di PNG.
Tanto per capirci, ho ottenuto risultati di gran lunga piu' simili a The GIMP sfruttando il supporto presente in Flash MX e Windows XP (per quest'ultimo mi riferisco al software d'acquisizione da scanner).

Mumènt! ma è una cosa che affligge solo l'ambiente windows o anche quello linux? E come funziona la cosa? Ok, l'infezione. E poi? Come fa l'utente esterno a accedere al pc infetto? Cosa viene installato, un backdoor? Non mi è molto chiara la cosa..

Originariamente inviato da DKDIB
Mark0 wrote:
> [...] non è raro convertire un GIF in PNG e
> ritrovarsi con un file di dimensioni dimezzate

Attento pero' a cosa usi per fare la conversione: The GIMP e' di gran lunga il migliore, mentre Paint Shop Pro 7 (la 8 l'ho installata da poco ma non ancora avuto il tempo di provarla) e Photoshop 7 fanno letteralmente pena per quanto concerne la loro implementazione di PNG.
Tanto per capirci, ho ottenuto risultati di gran lunga piu' simili a The GIMP sfruttando il supporto presente in Flash MX e Windows XP (per quest'ultimo mi riferisco al software d'acquisizione da scanner).

The Gimp è un gran applicativo, eppure l'interfaccia di Fotosciop la trovo molto + facile ed intuitiva...

Per chi non ha capito:
il problema non è nelle immagini, ma nel programma che viene utilizzato per visualizzarle.

Il cracker deve solo creare un'immagine che abbia una anomalia utile al fine di sfruttare un bug di libPNG: adesso che la libreria è stata corretta, le potenziali immagini che prima potevano recare danno, sono assolutamente normali e innocue.

Originariamente inviato da DKDIB Attento pero' a cosa usi per fare la conversione: The GIMP e' di gran lunga il migliore, mentre Paint Shop Pro 7 (la 8 l'ho installata da poco ma non ancora avuto il tempo di provarla) e Photoshop 7 fanno letteralmente pena per quanto concerne la loro implementazione di PNG.
Verissimo. Photo Shop in particolare fa veramente schifo a riguardo.
Come al solito, bisogna utilizzare gli strumenti giusti per ogni problema.

Nello specifico, ad esempio, c'è l'ottimo PngOut (freeware) di Ken Silverman (si, quello dell'engine Build di Duke Nukem!!) che comprime e ricomprime fino a che non riesce a spuntare anche un singolo byte rispetto alla "passata" precedente.
Ci mette un po', naturalmente, ma per le bitmap in una pagina web o degli screenshot, ad esempio, è la morte sua.

Bye!

Bug corretto con Firefox 0.9.3...

IE... non so. :D non lo uso più :D