Ein Experte der Sicherheitsfirma Neohapsis hat eine schwerwiegende Schwachstelle in der Bildbearbeitungssoftware Photoshop entdeckt. Einen Patch von Adobe gibt es bisher nicht:

Wie Scott Laurie von Neophasis mitteilte, steckt der Fehler in der Verarbeitungsroutine für BMP-Dateien. Betroffen sind sowohl Photoshop CS3 als auch After Effects CS3 sowie Photoshop Album Starter Edition unter Windows. In allen drei Programmen findet keine Überprüfung der so genannten Header-Informationen von BMP-Dateien statt. Angreifer haben dadurch die Möglichkeit, mittels manipulierten Headern einen Pufferüberlauf zu verursachen und können Schadcode einschleusen und ausführen.

Auf diesem Weg manipulierte BMP-Dateien können entweder per E-Mail verbreitet oder auf Web-Seiten zum Download angeboten werden. Ob die Sicherheitslücke auch in den Mac-Versionen von Photoshop CS3 und After Effects CS3 existiert, ist unklar.

Der Hersteller Adobe hat sich bislang noch nicht zu der Schwachstelle geäußert und keinen Termin für einen Bug-Fix genannt. Bis dahin ist beim Öffnen von BMP-Dateien zweifelhafter Herkunft Vorsicht geboten.

(sw)