Изображения PNG можно использовать для осуществления DoS–атаки

Опубликовано: 7 сентября 2015 г., понедельник

Как сообщают исследователи безопасности, обычные изображения, сохраненные в формате PNG, можно применять для осуществления DoS–атак. Используя определенные настройки в заголовке, сочетаемые с особенностями декодирования нулевых областей при методе сжатия DEFLATE, можно создать изображение размером в 50 гигапикселей (225000 х 225000). При раскладке 3 байта на пиксель обработка такого изображения потребует буфер размером в 141,4 Гб, что во много раз превышает объем оперативной памяти в подавляющем большинстве ПК.

Попытавшись открыть такую картинку в любом приложении или браузере, жертва столкнется с аварийным завершением процесса в связи с исчерпанием памяти. В качестве примера атаки исследователи порекомендовали загрузить изображение на любой online–сервис в качестве аватара или установить его в качестве картинки favicon.ico. В первом случае также произойдет сбой скриптов обработки изображений. Такой способ атаки может использоваться для всего контента, в котором применяется метод сжатия DEFLATE.

Аналогичными подобной атаке являются zip–бомбы и XML–бомбы. В первом случае используется вредоносный архив с расширением ZIP, распаковка которого приведет к исчерпанию свободного пространства (в прошлом был популярен архив 42.zip, объем распакованных данных которого составлял более 4000 терабайт). Во втором случае атака затрагивала XML–парсеры, приводя к аналогичной первому случаю ситуации: полностью распакованный файл занимал 3 Гб в оперативной памяти, что в 2002 году, когда была впервые проведена атака, приводило к аварийному завершению процесса.

Источник: securitylab.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

В новой бета-версии WhatsApp можно вести поиск GIF-анимаций

В новой бета-версии клиента мессенджера WhatsApp для Android появилась функция быстрого поиска анимационных изображений. дальше »

Трамп обсудит вопросы кибербезопасности с руководителями ряда компаний

Избранный президент США Дональд Трамп планирует встретиться с руководством корпораций, которые столкнулись с проблемами в области кибербезопасности. дальше »

Disney показала собственную приставку Kids TV0

В ходе выставки CES 2017, прошедшей в Лас–Вегасе (США) Disney продемонстрировала телевизионную приставку Disney Kids TV. дальше »

Голосовые помощники могут стать угрозой для существующей доменной системы

С любопытным и достаточно тревожным прогнозом выступил в своем блоге DomainNameWire известный специалист по доменной индустрии Эндрю Эллиман. дальше »

Троян-вымогатель KillDisk добрался до Linux-компьютеров

Исследователи по ИТ-безопасности из компании ESET опубликовали сообщение о новой версии трояна-вымогателя KillDisk, которая ориентирована на компьютеры, работающие под управлением операционной системы GNU/Linux. дальше »

Власти Милана обьявили о создании виртуального коммунального офиса для резидентов

Сотрудники мэрии Милана в настоящее время занимаются поиском веб–разработчика, который создаст онлайн–ресурс, где каждый житель города сможет оплачивать налоги, штрафы и запрашивать справки с ПК или смартфона. дальше »

Количество фишинговых сайтов в Украине растет с каждым годом

Если в 2015 году количество фишинговых сайтов не превышало и 40 штук, то в 2016 году их насчитывается уже более 170. дальше »

Во Франции 5 млн пользователей имеют сверхбыстрый широкополосный доступ в интернет

Франция прошла отметку в 5 миллионов пользователей сверхбыстрого широкополосного доступа в интернет (ШПД) в третьем квартале 2016 года, по данным компании–регулятора Arcep. дальше »

Федеральная торговая служба США подала в суд на компанию D-Link‍

Федеральная торговая комиссия США Federal Trade Comission) - FTC) приняла решение направить в суд иск на тайваньского производителя D-Link в ненадлежащей защите оборудования от хакерских атак. дальше »

Intel выпустит модем 5G

Компания Intel анонсировала выход нового 5G–модема Gold Ridge, который сможет обеспечивать все необходимые функции для пользовательских устройств, вышек мобильной связи, управляющих станций и серверов облачных служб на должном уровне безопасности. дальше »