AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

ZLib aktualisieren

Ein Thema von trashcandesign · begonnen am 1. Jul 2008 · letzter Beitrag vom 1. Jul 2008
Antwort Antwort
trashcandesign

Registriert seit: 21. Feb 2006
Ort: Mühlhausen
187 Beiträge
 
Delphi XE2 Professional
 
#1

ZLib aktualisieren

  Alt 1. Jul 2008, 13:17
Hallo,

wie hier: Sicherheitslücken in zlib beschrieben liegt bei Delphi 2006 eine veraltete Version der ZLib bei.
Diese möchte ich nun auf die Version 1.2.3 aktualisieren, aber wie?
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#2

Re: ZLib aktualisieren

  Alt 1. Jul 2008, 13:26
Hi trashcandesign,

da sagt dir der ursprüngliche Threadersteller mal:
http://www.base2ti.com/zlib.htm

Diese Library entspricht im Prinzip der auch von Borland/Inprise/Borland/CDG/Codegear/(heute) Embarcadero eingesetzen Technik.

Einfach installieren und von Deinem Source bei Bedarf einbinden (zLibEx statt zLib).

Wo Du zusätzlich noch nachsehen mußt, ist bei Fremdkomponenten: Beispiel hierfür sind ältere PngImage von Gustavo Daud, THtml von David Baldwin (und jetzt David Baldwin, Sebastian Zierer und mir etc.pp.

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
taaktaak

Registriert seit: 25. Okt 2007
Ort: Radbruch
1.990 Beiträge
 
Delphi 7 Professional
 
#3

Re: ZLib aktualisieren

  Alt 1. Jul 2008, 14:19
Moin, Moin,
hierzu eine wohl etwas naive Frage: Was verstehe ich in diesem Zusammenhang unter "Sicherheitslücke"? Ist das im Sinne von Datenschutz zu verstehen, oder ist damit gemeint, dass die Komprimierungsfunktionalität nicht immer verlässlich ist
Ralph
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#4

Re: ZLib aktualisieren

  Alt 1. Jul 2008, 14:38
Hi taaktaak,
Zitat von taaktaak:
Moin, Moin,
hierzu eine wohl etwas naive Frage: Was verstehe ich in diesem Zusammenhang unter "Sicherheitslücke"? Ist das im Sinne von Datenschutz zu verstehen, oder ist damit gemeint, dass die Komprimierungsfunktionalität nicht immer verlässlich ist
Das ist keine naive Frage! Die Antwort lautet: Sowohl als auch

Die Sicherheitslücken von zLib ermöglichen Abstürze und Pufferüberläufe, also schreiben an unerwünschte Speicherbereiche, die bis hin zur Codeausführung reichen können.

Das würde bedeuten, wenn man einem Programm mit zLib (egal welcher Programmiersprache) manipulierte komprimierte Daten übergibt - z.B. durch falsche Eingangsdaten oder Zip/Gz-Archive - dies das Programm gehörig aus dem Tritt bringen kann bis hin zum Ausführen von Code von fremden Angreifern.

Ein Beispiel:
Du programmierst in Deine Delphi Anwendung z.B. eine Anzeigeroutine für PNG-Dateien oder einen Html-Webbrowser (THtml) ein. Dein Programm läuft mit Admin-Rechten, ich habe jedoch nur Benutzerrechte. Manipuliere ich jetzt ein PNG oder einen GZ-Stream, kann ich unter Umständen Dein Programm "abschießen" oder sogar meinen Code mit Deinen Rechten ausführen.

Nachtrag:
Das gleiche gilt auch für Datenbanken, die häufig zLib verwenden. Ich kann durch manipulierte Eingabedaten - z.B. in einem TEdit per Copy-Paste eingefügt, u.U. Code zur Ausführung bringen.

Das dies nicht nur theoretisch geht, sieht man an den ganzen WMF, PDF (und Co) Exploits, welche im Internet schön viele Rechner für Bot-Netzwerke und dergleichen "kapern".

Gruß Assertor

Quellen:
http://www.kb.cert.org/vuls/id/238678
http://www.kb.cert.org/vuls/id/680620
http://cve.mitre.org/cgi-bin/cvename...=CAN-2005-2096
Frederik
  Mit Zitat antworten Zitat
taaktaak

Registriert seit: 25. Okt 2007
Ort: Radbruch
1.990 Beiträge
 
Delphi 7 Professional
 
#5

Re: ZLib aktualisieren

  Alt 1. Jul 2008, 14:49
Ahhh, das ist ja eine "heftige" Sache.
Vielen Dank für die ausführliche und informative Antwort.
Ist diese Sicherheitslücke mit der vorgenannten neuesten Version geschlossen?
Ralph
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#6

Re: ZLib aktualisieren

  Alt 1. Jul 2008, 14:52
Zitat von taaktaak:
Ahhh, das ist ja eine "heftige" Sache.
Ja, ist es. Deswegen wundert es mich manchmal, warum z.B. meiner letzter Thread dazu so wenig Resonanz erzeugt. Ich habe auch schon hier Moderatoren gefragt, ob ein Extra Bereich für Sicherheitsthemen nicht sinnvoll wäre.

Zitat von taaktaak:
Vielen Dank für die ausführliche und informative Antwort.
Ist diese Sicherheitslücke mit der vorgenannten neuesten Version geschlossen?
Bitte, gern geschehen. Ja, die Lücke ist mit zLibEx 1.2.3 geschlossen. Vermutlich wird hier Embarcadero auch irgendwann drauf umschwenken...

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:57 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz