AMD Planet

[Staff]

<p>Una vulnerabilità grave è stata identificata nella largamente usata libreria di compressione dati Zlib.
Zlib è una compression library sfruttata in molti programmi di terzi e distribuita con molti sistemi oprativi tra cui Linux e BSD così come in parte dei pacchetti di Microsoft. Questo perchè Zlib è offerta sotto licenza libera stile BSD. <br>
La nuova falla consiste in un buffer overflow del processo di
decompressione dovuta ad una mancata validazione degli input data. Il
bug presente nel modulo "inftrees.c" espone a rischio di sicurezza tutti gli utenti del sistema di windowing Xorg (conosciuto anche come "X11" e "Xfree86") così come quelli di molti altri window managers. Anche le applicazioni a codice chiuso come quelle per piattaforma Microsoft Windows sono vulnerabili. <br>
<br>
Non ci sono stati reports finora dell' esistenza di codici exploits relativi alla vulnerabilità ma dato che si tratta di un semplice bug di buffer overflow, la realizzazione degli stessi potrebbe avvenire molto presto. Microsoft Office e Windows Messenger sono per esempio due applicazioni interessate dal problema. <br>
<br>
Un attacker potrebbe sfruttare un file PNG corrotto (pubblicato magari sul web) contenente codice arbitrario per causare un crash dell'applicazione vulnerabile e compromettere il sistema. Le applicazioni interessate vanno dal Linux kernel a OpenSSH, da Mozilla a Internet Explorer così come qualsiasi altra applicazione in grado di gestire il formato PNG, questo perché Zlib è integrata nella libreria Libpng. <br>
<br>
Gli autori di Zlib non hanno rilasciato ancora una versione corretta della libreria e l'ultima disponibile (zlib 1.2.2) risulta vulnerabile. Alcune distribuzioni Linux e "open-source" hanno rilasciato packages aggiornati a correzione della falla, per esempio la versione zlib-1.2.1.2-2.fc3 (Fedore Core) include la patch per il bug. </p>
<p> </p>
<p>fonte <a href="http://www.tweakness.net/topic.php?id=1242" target="_blank">tweakness </a></p>
<p>  </p>