Számos böngésző sebezhető speciális PNG képekkel

Több különböző biztonsággal foglalkozó cég is felhívta a felhasználók figyelmét, hogy egy esetleges támadó speciális PNG formátumú képek segítségével könnyedén behatolhat a szörfözők számítógépeire.

A kritikus sebezhetőség - amelyre először Chris Evans független biztonsági szakértő hívta fel a figyelmet - a Linux, a Windows, valamint a Mac OS X operációs rendszert futtató számítógépeket egyaránt fenyegeti. A Portable Networks Graphics néven ismertté vált képformátum a nyílt forráskódnak és a kedvező tömörítési aránynak köszönhetően rendkívül népszerű az interneten, és eddig még egyetlen károkozó sem használta fel saját céljaira.

A hat különböző biztonsági hibát a formátumot kezelő függvénykönyvtárban fedezték fel, amely számos böngészőben - többek között a szintén nyílt forráskódú Mozillában és Firefoxban, a Apple Safari nevű böngészőjében, valamint a Microsoft-féle Internet Explorerben - és több levelező programban is megtalálható.

Evans eddig még nem tesztelte az összes említett böngészőt, így a veszély igazi jelentősége még nem ismert. Véleménye szerint a támadók a libPNG hibáin keresztül tetszőleges programkódot futtathatnak számítógépünkön, de akár a teljes irányítást is magukhoz ragadhatják. "A speciális képtől a Mozilla és a Konqueror is azonnal megfagyott" - áll Evans részletes tájékoztatójában, amely saját honlapján is megtalálható. "Ennél durvább megoldás is létezik, amennyiben a támadó emailben csatolva juttatja el a szóban forgó képeket mit sem sejtő áldozatához, akinek grafikus levelező programja szintén a hibás könyvtárat használja."

A dán Secunia csütörtökön - egyéb biztonsági cégekhez hasonlóan - "rendkívül veszélyesnek" minősítette a fenyegetést és a megfelelő frissítések mielőbbi letöltésére hívta fel a felhasználók figyelmét. A Mozilla (1.7.2) és Firefox (0.9.3) böngészők, valamint a Thunderbird (0.7.3) nevű levelező kliens frissített változatai már elérhetők a Mozilla Foundation weboldalán, míg az Apple és a Microsoft egyelőre nem reagált a bejelentésre.