monsitj - Fotolia

F

Wie manipulierte TIFF-Dateien zu einer Remote-Code-Ausführung führen

Eine Schwachstelle in einer Software-Bibliothek sorgt dafür, dass über eine manipulierte TIFF-Datei eine Remote-Code-Ausführung möglich ist.

Forscher von Cisco Talos haben drei Schwachstellen in der LibTIFF-Bibliothek entdeckt. Diese Bibliothek bietet eine Reihe von Funktionen zur Bearbeitung von TIFF-Bilddateien. Jede dieser Schwachstellen könnte Angriffe mit Remote-Code-Ausführung zur Folge haben. Für zwei der Sicherheitslücken stehen Patches bereit. Um welche Schwachstellen handelt es sich und wie würden die Angriffe funktionieren? Was können Unternehmen tun, um sich zu schützen?

Das Tagged Image File Format (TIFF) ist ein weit verbreitetes Dateiformat für die Speicherung von Bilddaten. Viele Bildverarbeitungs- und DTP-Programme unterstützen dieses Format, zudem kommt es häufig beim Scannen und Faxen zum Einsatz. Die LibTIFF-Bibliothek und die zugehörigen Dienstprogramme sind frei verfügbare Lösungen mit deren Hilfe sich TIFF-Dateien schreiben, lesen und bearbeiten lassen. Die Software steht für unterschiedliche Plattformen zur Verfügung, so etwa für Windows, Linux und Mac OS X.

Die drei Schwachstellen, die von den Forschern Tyler Bohan und Mathias Svensson gefunden wurden, erlauben es Angreifern, aus der Ferne Code auf dem angegriffenen System auszuführen. Hierfür muss der Nutzer dazu bewegt werden, ein fehlerhaftes TIFF-Dokument mit einer Software zu verarbeiten, die die LibTIFF-Bibliothek verwendet.

Die erste Sicherheitslücke (CVE-2016-5652) wurde in dem Tool TIFF2PDF gefunden. Das Problem tritt auf wenn eine TIFF-Datei in eine PDF-Datei konvertiert wird und dabei die JPEG-Kompressionsoption gewählt wird. Eine speziell präparierte TIFF-Datei führt aufgrund von Fehlern bei der Berechnung der Kachelgröße des Bildes wiederum zu Fehlern beim Schreiben der Datei. Ein Angreifer, dem es gelingt, den Nutzer zur Verarbeitung einer solchen TIFF-Datei zu bewegen, kann einen Pufferüberlauf im dynamischen Speicher auslösen.

Die zweite Sicherheitslücke (CVE-2016-5875) betrifft die Art und Weise, wie LibTIFF die zlib-Komprimierungsbibliothek verwendet, um Pixarlog-komprimierte Daten innerhalb eines TIFF-Bildes zu dekomprimieren. Ist der Puffer, der verwendet wird, um die an zlib zu übergebenen Parameter zu speichern, zu klein, kommt es ebenfalls zu einem Heap-Überlauf.

Die dritte Schwachstelle (CVE-2016-8331) tritt während des Parsens und der Verarbeitung von TIFF-Dateien mit Hilfe der LibTIFF-API auf. RFC 2306 definiert eine Reihe von Feldern, die im TIFF-Format speziell für Faxsysteme verwendet werden. Hier kann die Art und Weise, wie LibTIFF das Feld „BadFaxLines“ verarbeitet zu einem Speicherfehler führen. Mit einer speziell präparierten TIFF-Datei können Angreifer diese Sicherheitsanfälligkeit auszunutzen und beliebigen Code auf den betroffenen Systemen ausführen.

LibTIFF ist in C geschrieben, wo problematisches Handling in Sachen Speicher nicht ganz ungewöhnlich ist. Alle drei Schwachstellen sind darauf zurückzuführen, wie LibTIFF Objekte im Speicher behandelt. Bislang gibt es keine offizielle LibTIFF-Version, in der alle Sicherheitslücken geschlossen sind. Aber für CVE-2016-5652 und CVE-2016-5875 stehen Patches zum Download zur Verfügung. CVE-2016-8331 bleibt bislang ungepatched. Unternehmen sollten überprüfen, ob sie Programme einsetzen, die wiederum LibTIFF verwenden. Talos hat zudem einige Snort-Regeln veröffentlicht, mit deren Hilfe sich die Ausnutzung der Schwachstellen erkennen lassen soll.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Angriffspunkt Open-Source-Software

ImageGate: Malware kommt per Bilder über soziale Medien

Malware-Analyse: So arbeitet der Keylogger iSpy

Wie sollten IT-Abteilungen auf potentiell infizierte Systeme reagieren?

Artikel wurde zuletzt im März 2017 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close