forum.opennet.ru

"Представлена техника совершения DoS-атаки через отправку PNG..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"Представлена техника совершения DoS-атаки через отправку PNG..."	+/–
Сообщение от opennews (?), 03-Сен-15, 21:14
Исследователи безопасности обратили внимание (https://www.bamsoftware.com/hacks/deflate.html) на возможность создания PNG-файлов, при распаковке съедающих всю доступную память. Определённый набор настроек в заголовке в сочетании с особенностями распаковки нулевых областей при использовании метода сжатия DEFLATE (каждая пара бит может кодировать 258 нулевых байт) позволили создать PNG-изображение размером 6 Мб (в форме bzip-архива (https://www.bamsoftware.com/bzr/deflate/spark.png.bz2) 420 байт), которое распаковывается в картинку 50 гигапикселей (225000 × 225000), которая в раскладке 3 байта на пиксель потребует для своей обработки буфера в 141.4 Гб. Как правило, попытка открытии такой картинки в приложениях или браузере приводит к завершению процесса из-за исчерпания доступной памяти. В качестве примеров атак отмечается подстановка данной картинки на сайт в качестве изображения favicon.ico, открываемого браузером по умолчанию, или загрузка в online-сервисы в качестве аватара для инициирования сбоев скриптов обработки изображений. Потенциально атака может быть осуществлена и для других типов контента, в которых используется метод сжатия DEFLATE. URL: https://news.ycombinator.com/item?id=10158529 Новость: https://www.opennet.ru/opennews/art.shtml?num=42905
Ответить \| Правка \| Cообщить модератору

Оглавление

Представлена техника совершения DoS-атаки через отправку PNG..., opennews, 03-Сен-15, 21:14 [смотреть все]

Safari спокойно отобразил картинку , Совесть, 03-Сен-15, 21:14 (1) //
- И что на ней , Аноним, 03-Сен-15, 22:52 (14) //
  - Моя бывшая массой 140кг , Аноним, 04-Сен-15, 00:15 (30) //
    - Ужас , Вареник, 05-Сен-15, 03:49 (86)
  - Чёрный квадарат Хотя вполне возможно, что safari просто сжульничал и не стал рен, soarin, 04-Сен-15, 04:40 (43) //
    - Это не жульничество, а элементарная проверка исходных данных перед распаковкой , anonymous, 05-Сен-15, 09:23 (89)
      - Нежульничество - написать не хочу распаковывать большую картинку , или хотя бы , Аноним, 06-Сен-15, 00:54 (94)
- как ни странно, завалявшаяся опера 12 тоже А вот современний seamonkey и gqview, Crazy Alex, 03-Сен-15, 23:33 (20) //
  - И что она показала Там на картинке надпись есть И мне интересно, какие програм, Аноним, 03-Сен-15, 23:51 (24) //
    - Есть комментарии https sohabr net gt post 261276 comment_8761792 что Micr, Гость, 04-Сен-15, 01:22 (35)
    - Не пролистывал, Crazy Alex, 04-Сен-15, 13:00 (63)
- Скриншот сафари с открытой картинкой в студию , Аноним, 03-Сен-15, 23:53 (25) //
  - https www dropbox com s s9fvdp9ot4pat4f Screenshot 202015-09-04 2007 49 59 png, Аноним, 04-Сен-15, 07:53 (48) //
    - Сафари читит Вместо картинки чорный квадрат показывает Наверняка Малевич пропл, Аноним, 04-Сен-15, 14:06 (66)
      - Угу, с того света По курсу 30-тых Творчеством Малевича конечно восхищаться дал, Аноним, 04-Сен-15, 18:12 (78)
        
        Сарказм же Неужели в современном мире надо обязательно теги проставлять сарка, Аноним, 04-Сен-15, 22:06 (80)
- Лис сказал что contains an error и показывать не стал Ristretto корректно рас, Аноним, 07-Сен-15, 09:45 (104)
Тестируем 1 https upload wikimedia org wikipedia commons f f4 360-degree_Pano, iZEN, 03-Сен-15, 21:19 (2) //
- Это фэйк Оба изображения нормально открываются , Аноним, 03-Сен-15, 21:27 (4) //
  - Ждём тех, у кого нет , iZEN, 03-Сен-15, 21:29 (5) //
    - Дорогой, IE уже поддерживает PNG Кого ждем , Аноним, 03-Сен-15, 23:02 (15)
      - Мимо, единственное у кого могут быть проблемы на больших картинках - это пользов, soarin, 04-Сен-15, 04:27 (41)
        
        Хрен Вам 171 Изображение содержит ошибки 187 , Андрей, 04-Сен-15, 07:14 (47)
        
        Хрен Вам Оба нормально показыаются Фурифоксом, на линухе Одновременно На одн, Аноним, 07-Сен-15, 09:49 (105)
        
        УМВР, обе картинки открылись нормально Iceweasel 40 0 3, X Org X Server 1 16 4,, Аноним, 04-Сен-15, 10:42 (56)
        Пользователь фурифокса на линухе рапортует о норманом отображении, фейк , Чудак, 04-Сен-15, 10:42 (57)
        
        Не совсем Файрфокс проверяет размеры, сильно большие картинки отказывается отоб, Аноним, 04-Сен-15, 14:09 (68)
        
        Не хочу разводить срач, но Bug 77107 Component Driver RadeonBug 44099Compone, Dobro666, 04-Сен-15, 11:20 (60)
        
        оно намекает что баг не поленился зарепортить пользователь с радеоном У меня точ, нах, 04-Сен-15, 12:23 (61)
        
        Не могу согласится со всем выше написанным, но факт в том, что у меня всё открыв, Dobro666, 05-Сен-15, 06:03 (88)
- Зачем эти ссылки, когда в новости есть ссылка на bzip2 файл Pale Moon 25 7 0 выд, anonymous, 03-Сен-15, 21:49 (8) //
  - У меня нет желания и времени качать и распаковывать 8230 , KOT040188, 03-Сен-15, 22:24 (10) //
    - Зато сюда спамить бесполезный мусор - у тебя время есть , Аноним, 07-Сен-15, 09:50 (106)
  - Практически, аналогично В Слаке Гвенвью и текущий 31 8 на моей системе фаерфо, ZloySergant, 04-Сен-15, 00:14 (29)
- Не смотря на то, что моя лиса нещадно течёт я об этом уже писал , картинки откр, KOT040188, 03-Сен-15, 22:23 (9)
Масштабно Хотя подождите, они изобрели zip-бомбу, заливаемую любителями лулз, Аноним, 03-Сен-15, 21:24 (3)
такого рода бага была где можно было favicon ico создать гигабайтами и все брауз, eRIC, 03-Сен-15, 21:43 (7)
Мы неделю назад такие же квадратные pngшки дикого размера генерили для тестов на, Аноним, 03-Сен-15, 22:25 (11) //
- А вы -- это кто, если не секрет , Xaionaro, 03-Сен-15, 23:05 (16) //
  - Анонины с анонимного сервера, разумеется , Аноним, 03-Сен-15, 23:08 (17) //
    - В принципе можно сказать, что анонимы с публичными чатлогами, да , Аноним, 03-Сен-15, 23:29 (19)
      - Хорошо, другой вопрос Вы чем-то можете доказать ваши слова Я просто хотел сам , Xaionaro, 04-Сен-15, 06:45 (46)
        
        P S Я просто люблю проверять факты, извиняюсь если это прозвучало грубо 8212, Xaionaro, 04-Сен-15, 09:19 (52)
        
        Ничего страшного, просто деанонимизирует это не совсем меня , Аноним, 04-Сен-15, 17:27 (77)
        
        6 2 гигапикселя, Аноним, 04-Сен-15, 13:45 (65)
- А вы, наверное, прочитали матюки сисопов 20-летней давности, когда им на BBS ки , Аноним, 04-Сен-15, 23:41 (83) //
  - Мы свой сайт на устойчивость тестили, смотрели на каких размерах начнёт дохнуть , Аноним, 06-Сен-15, 00:50 (93) //
    - Вообще-то не после ваших, а после сабжевых Не надо себе приписывать чужие заслу, Аноним, 07-Сен-15, 09:27 (98)
Сколько ещё шутников выложит левые ПНГшки под видом сабжа, только хоть кто-то по, Тот_Самый_Анонимус, 03-Сен-15, 22:26 (12)
У меня на Ubuntu при попытке открыть эту PNG в GIMP 2 9 1 сработало Началось бы, azex, 03-Сен-15, 22:44 (13) //
- Это потому что ты не пользуешься zram , Аноним, 04-Сен-15, 04:06 (39) //
  - Ударим компрессией памяти по ZIP-бомбам , Аноним, 07-Сен-15, 09:27 (99) //
    - Блжад, на заплёваной вами венде компрессионные бомбы еще в прошлом столетии прол, Аноним, 07-Сен-15, 21:33 (110)
Фаерфокс открывать эту пнг отказался, при попытке открыть файл в гимп получилось, Dimasiq, 03-Сен-15, 23:16 (18) //
- Gimp создаёт свой своп-файл и сбрасывает данные туда Погляди в gimp-2 8, irinat, 03-Сен-15, 23:45 (22) //
  - Действительно, так и есть 10гб еще успел на диск записать до того как я его зак, Dimasiq, 03-Сен-15, 23:54 (26) //
    - Это нормально, вообще-то Других способов редактирования гигантских картинок нет, Аноним, 04-Сен-15, 00:01 (27)
      - Это где такие картинки по 20гб то еть Да и он мог спросить пользователя скажем , Dimasiq, 04-Сен-15, 00:15 (31)
        
        Геоданные, астрономия У него это в настройках есть , Аноним, 04-Сен-15, 00:25 (32)
        
        И где у него такие настройки Я нашел только некий tile cache size 7 Гб, но ес, Dimasiq, 04-Сен-15, 00:50 (33)
        
        Tile cache size это как раз объём оперативной памяти, который можно занять под к, Аноним, 04-Сен-15, 01:20 (34)
        
        Ну так как значение 7Гб, а свопить он начал после 10Гб, то явно это не то значен, Dimasiq, 04-Сен-15, 02:00 (36)
        
        Это огромная потеря для сообщества Gimp юзеров, мы все помним и скорбим о твоем , Аноним, 04-Сен-15, 10:38 (54)
        
        Ну а пока что apt-get install adobe-photoshop, Аноним, 04-Сен-15, 12:29 (62)
      - Посмотрите nip2 , Michael Shigorin, 04-Сен-15, 15:01 (70)
        
        То же самое nip2 spark png просит подождать 126 минут, а тем временем пишет г, Аноним, 04-Сен-15, 15:31 (71)
        
        Ну так если вы хотите работать с 140Гб картинкой целиком в памяти, без медленной, Аноним, 07-Сен-15, 09:29 (100)
    - Сейчас подойдёт Прокудин и скажет что всё в полном порядке, так и было задумано , Анончег, 04-Сен-15, 03:54 (38)
Вообще-то этой технике лет чуть ли не столько же, сколько формату PNG И вообще, Аноним, 03-Сен-15, 23:44 (21) //
- Так что на картинке-то , Аноним, 03-Сен-15, 23:49 (23)
Просмотр изображений в Убунте сказал что Недостаточно памяти для хранения изобр, РОСКОМУЗОР, 04-Сен-15, 02:28 (37)
safari - отобразил большой чёрный квадратopera и firefox - не стали загружать, т, soarin, 04-Сен-15, 04:24 (40)
В Windows 8 1 средствами системы тоже не получается отобразить фаил - сразу пише, Andrey, 04-Сен-15, 04:30 (42)
libpng error IDAT CRC error, chinarulezzz, 04-Сен-15, 04:47 (44)
feh открыл и не упал , Аноним, 04-Сен-15, 05:43 (45) //
- Файл открылся хекс-редактором Никакого выедания памяти и зависаний Лжёт новост, Тот_Самый_Анонимус, 04-Сен-15, 08:01 (49)
- Мне feh -F spark png показал чорный экран вместо картинки и IDAT CRC error , Аноним, 04-Сен-15, 14:42 (69)
Попробовал открыть через ImageMagic через три минуты комп повис напрочь и больше, Аноним, 04-Сен-15, 08:30 (50) //
- Брат-то жив , Аноним, 04-Сен-15, 09:51 (53)
- Я попробовал открыть с телефона, телефон теперь не включается, пишу с печатной м, Аноним, 04-Сен-15, 10:41 (55) //
  - С пылесоса же , Ури, 04-Сен-15, 10:47 (58)
  - Попробовал открыть с печатной машинки, теперь не нажимаются клавиши, пишу через , burjui, 04-Сен-15, 13:39 (64) //
    - Попробовал через сервис HTTP PM HTTP over Pidgeon Mail - завис, выключил элект, mic_ndfbnj, 07-Сен-15, 15:48 (107)
Ни одна программа не зависла и не открыла картинку , Аноним, 04-Сен-15, 11:11 (59)
в GIMP смог воспроизвести, но он не уронил систему, начал в свой собственный сво, mcorn, 04-Сен-15, 14:06 (67)
http m8y org tmp zipbomb foo html - то же самое, но на svg Роняет виндовую маз, Аноним, 04-Сен-15, 15:41 (72) //
- да, внутри там, естественно, вот такой big svgz compressed uncompressed ratio, Аноним, 04-Сен-15, 15:45 (73)
- Зачем виртуалку Можно же запустить в отдельном профиле, ограничив ему память ul, Аноним, 04-Сен-15, 16:07 (74) //
  - так она тогда гавкнется в core по лимиту, а oom не придет P S msie страницу отк, ., 04-Сен-15, 16:48 (76) //
    - Да, хорошая мысль - восстановить страницу съевшую 11 гигз Лучше всего это сдела, Аноним, 07-Сен-15, 09:33 (101)
- Фф отожрал 11гб и начал дико глючить, но вкладку закрыть дал , Dimasiq, 04-Сен-15, 16:25 (75)
- На FreeBSD Фурифокс как бы останавливает прорисовку окна на несколько секунд, от, iZEN, 05-Сен-15, 19:32 (91)
- Icecat тоже роняет И midori А вот 12ю Оперу - нет, как ни странно Память отжи, count0krsk, 06-Сен-15, 19:26 (95)
А это норм на линуксах https bugzilla kernel org attachment cgi id 118351 , soarin, 04-Сен-15, 20:34 (79) //
- Какой номер репорта, можно ссылку на репорт , Gannet, 04-Сен-15, 22:51 (82) //
  - https bugzilla kernel org show_bug cgi id 60533, soarin, 05-Сен-15, 04:46 (87)
- ппц это было выложено 2013-12-14 и все еще отлично работаетда так работает что о, Dimasiq, 05-Сен-15, 00:41 (84)
- icecat сожрал всю память, хромка и мидори выжили, память не сожрали Ну и опера1, count0krsk, 06-Сен-15, 19:54 (97)
- Там написано Loading и ohmed was here Им что, тоже багзиллу сломали , Аноним, 07-Сен-15, 09:36 (102)
Где картинку скачать Запощу, друзья перепостят и пошло-поехало , Аноним, 04-Сен-15, 22:16 (81)
дамы и господа, баг с favicon ico был описан когда ну-ка, пользуемся поиском , Perl_Jam, 05-Сен-15, 02:19 (85)
ls spark png-r-------- 1 igor wheel 5,8M 5 сен 19 12 spark png eom spark, iZEN, 05-Сен-15, 19:19 (90) //
- Изен выучил новое слово Но правда не знает что оно означает - а где там ТЕЛЕ, с, Аноним, 07-Сен-15, 09:40 (103) //
  - Шрифты в стиле чертёжных ГОСТ , www2, 11-Сен-15, 19:32 (112)
Хм, у меня сей файл отказываются открывать eyeofmate, firefox и GIMP Все трое , Slowpoke, 05-Сен-15, 20:51 (92) //
- XnView для линукса не открыл, браузеры все тоже, гляделка lxde сказала что ты мн, count0krsk, 06-Сен-15, 19:29 (96)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру