Mir kommt es so vor, als würde derzeit Adobes Produktpalette etwas genauer unter die Lupe genommen werden, nachdem unlängst der Exploit für den BMP-Loader in Photoshop entdeckt wurde. Eine weitere kritische Sicherheitslücke wurde nun in dem für den Import von PNG-Dateien verantwortlichen Plugin PNG.8BI entdeckt, wie ZDNet schreibt. Auch hierbei handelt es sich wieder um einen Buffer Overflow, der durch manipulierte PNG-Dateien verursacht wird und zum Einschleusen von Schadcode ausgenutzt werden kann.

Betroffen von diesem Problem sind die Windows Versionen der Produkte Adobe Photoshop CS2, Adobe Photoshop CS3 sowie Adobe Photoshop Elements 5.x. Der einzige Schutz derzeit: Keine PNG’s von nicht vertrauenswürdigen Quellen öffnen. Wie das in der Praxis funktionieren soll, wenn bspw. Kunden ihre Daten als PNG anliefern, ist im Augenblick unklar. Gerade die „typischen“ Anwender liefern Bilder in der Regel als BMP oder inzwischen gelegentlich als PNG, seltener als PSD oder TIFF. Wahrscheinlich muss man es dann tatsächlich so halten, wie es diverse Druckereien immer noch vor machen: „Wir können nur dieses oder jenes Format…“

Ich hoffe nicht, in Kürze von weiteren Problemen in den anderen Modulen zu lesen, ein paar Import-Plugins für diverse Dateiformate gibt es ja noch.

Nachtrag: Wie ich bei heise lese hat Marsu, der Entdecker dieser Sicherheitslücken, weitere vergleichbare Probleme auch in anderen Produkten festgestellt. So existiert dieses Problem beim Umgang mit PNG-Dateien offenbar auch in Corel Paint Shop Pro 11.20. GIMP weist eine vergleichbare Lücke im RAS-Loader auf und in IrfanView kann mit manipulierten IFF-Dateien ein Buffer-Overflow erzeugt werden.

Dieser nette kleine Registry-Hack von John Beardsworth ermöglicht es, unter Windows ein Verzeichnis mit Bildern direkt in Adobe Photoshop Lightroom zu öffnen:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\shell\Lightroom]
@=“Send folder to Lightroom“

[HKEY_CLASSES_ROOT\Directory\shell\Lightroom\command]
@=“\“C:\\Program Files\\Adobe\\Adobe Photoshop Lightroom\\Lightroom.exe\“ \“%L\““

Den kompletten Inhalt in einen Texteditor kopieren, den Pfad anpassen, dass erzur eigenen Lightroom-Installation verweist und die Datei als irgendwas.reg speichern. Diese Datei dann per Doppelklick starten und die Informationen werden in die Registry eingetragen. Ab diesem Zeitpunkt reicht dann ein Klick mit der rechten Maustaste auf ein Verzeichnis mit Bildern, um dieses in Lightroom zu öffnen. Sehr schön!

Heise informiert darüber, dass in den Windows Versionen von Adobe Photoshop CS2 und CS3 ein Fehler in der Verarbeitung von BMP-Dateien existiert. Entsprechend manipulierte BMP, DIP oder RLE-Dateien können einen Buffer-Overflow auslösen und so Code einschleusen.

Es existiert bereits ein Exploit für diese Lücke, Patches zum schließen der Lücke stehen jedoch noch nicht zur Verfügung.

Ah, das muss ich loswerden: Das folgende Bild ist eine kleine 2-Minuten Spielerei. Entstanden ist es mit Hilfe von Brushes für Photoshop.

Gefunden habe ich diese freien Pinselspitzen via haha.nu. Neben einer ganzen Menge weiterer, die durch die Bank weg alle sehr gelungen sind. Einfach mal reinschauen und downloaden, lohnt sich definitiv!