Центр исследования компьютерной преступности

home контакты

Изображения PNG можно использовать для осуществления DoS-атаки

Дата: 15.09.2015
Источник: Cybersafetyunit.com


cybercrime/img21.jpg Как сообщают исследователи безопасности, обычные изображения, сохраненные в формате PNG, можно применять для осуществления DoS-атак.

Используя определенные настройки в заголовке, сочетаемые с особенностями декодирования нулевых областей при методе сжатия DEFLATE, можно создать изображение размером в 50 гигапикселей (225000 х 225000). При раскладке 3 байта на пиксель обработка такого изображения потребует буфер размером в 141,4 Гб, что во много раз превышает объем оперативной памяти в подавляющем большинстве ПК.

Попытавшись открыть такую картинку в любом приложении или браузере, жертва столкнется с аварийным завершением процесса в связи с исчерпанием памяти. В качестве примера атаки исследователи порекомендовали загрузить изображение на любой online-сервис в качестве аватара или установить его в качестве картинки favicon.ico. В первом случае также произойдет сбой скриптов обработки изображений. Такой способ атаки может использоваться для всего контента, в котором применяется метод сжатия DEFLATE.

Аналогичными подобной атаке являются zip-бомбы и XML-бомбы. В первом случае используется вредоносный архив с расширением ZIP, распаковка которого приведет к исчерпанию свободного пространства (в прошлом был популярен архив 42.zip, объем распакованных данных которого составлял более 4000 терабайт).

Во втором случае атака затрагивала XML-парсеры, приводя к аналогичной первому случаю ситуации: полностью распакованный файл занимал 3 гигабайта в оперативной памяти, что в 2002 году, когда была впервые проведена атака, приводило к аварийному завершению процесса.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2017 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.