Prima pubblicazione: 5 agosto 2004
Ultimo aggiornamento: 10 agosto 2004
Effetti possibili: crash o blocco del browser cliccando su un link che porta a un'immagine apparentemente innocua. Nessuna intrusione o violazione del computer-bersaglio (in questa versione blanda).
Questo test, se ha successo, bloccherà
(crash) il vostro browser (Internet Explorer e/o altri) semplicemente tentando di visualizzare un'immagine.
Se state facendo qualcosa di importante con il vostro browser,
completate quello che state facendo prima di eseguire questo test. Siete stati avvisati.
Il test verrà iniziato soltanto quando cliccate sul pulsante “Procedi con il test” qui sotto. Per tornare all'indice del Browser Challenge, cliccate su “Torna indietro”.
Se il test ha successo, il vostro browser crasherà oppure si bloccherà.
Se il vostro browser non crasha, avete superato indenni questa prova.
Usare un browser diverso da quelli vulnerabili o una sua versione
aggiornata e corretta, come elencato qui sotto. L'asterisco indica test
personali; le voci senza asterisco indicano segnalazioni provenienti
dai lettori.
NOTA: Sotto Mac e Linux, la falla dipende da un difetto di una libreria del sistema operativo (libpng)
utilizzata dai vari browser e quindi viene risolta solitamente
aggiornando il sistema operativo invece del browser. Ho pertanto indicato "pre-libpng" per indicare test condotti prima di aggiornare questa libreria e "post-libpng" per indicare i test condotti dopo l'aggiornamento. L'aggiornamento è già disponibile sia per Mac, sia per Linux.
Il test consiste semplicemente in un link che porta a una piccola
immagine corrotta in formato PNG. A causa del modo scorretto in cui
molti browser interpretano le immagini PNG, i dati intenzionalmente
corrotti nell'immagine causano il crash del browser. Questo non
dovrebbe succedere: se un file contiene dati corrotti o non conformi,
il programma dovrebbe semplicemente visualizzare l'icona che
rappresenta un file danneggiato.
Questa vulnerabilità, se sfruttata opportunamente, può eseguire sul
computer della vittima qualsiasi istruzione desiderata dall'aggressore.
Questo test non lo fa.
Un altro modo estremamente pericoloso di usare questa vulnerabilità è inviare l'immagine all'interno di un e-mail.
Se il client di posta del destinatario interpreta automaticamente le
immagini incluse nei messaggi, è probabile che vada in crash e continui
a crashare ogni volta che la vittima tenta di leggere il messaggio
"infetto". E' uno dei tanti motivi per cui da tempo si sconsigliano i
programmi di posta che visualizzano le immagini.
L'immagine è tratta da http://scary.beasts.org/misc/pngtest_bad.png (attenzione: anche questo link fa crashare certi browser!) e la spiegazione tecnica è disponibile (in inglese) qui e presso il CERT.
Sotto Mac OS X pre-libpng, un mio test indica che salvando l'immagine sulla Scrivania, la Scrivania "crasha" e prende a lampeggiare ciclicamente. Se nel Finder è attivata l'anteprima, il Finder crasha appena si visualizza la cartella contenente l'immagine. Per risolvere il problema, si può usare un qualsiasi programma che non visualizzi l'anteprima dei file e rinominare l'immagine, cambiandone l'estensione.
Un test di un lettore segnala che scaricando l'immagine sul disco e
cercando di aprirlo con Anteprima/Preview di Mac OS X pre-libpng e con
GraphicConverter, i due programmi sono andati in crash. Un ulteriore
tentativo con Photoshop ha segnalato un "formato non analizzabile".
L'unico risultato "positivo" è stato ottenuto con BBedit, che apre
un'immagine interamente bianca.
Sotto Windows XP, Esplora Risorse non ha problemi e semplicemente non riesce a visualizzare l'anteprima del file.