Hallo,

wie hier: Sicherheitslücken in zlib beschrieben liegt bei Delphi 2006 eine veraltete Version der ZLib bei.
Diese möchte ich nun auf die Version 1.2.3 aktualisieren, aber wie?

Hi trashcandesign,

da sagt dir der ursprüngliche Threadersteller mal:
http://www.base2ti.com/zlib.htm

Diese Library entspricht im Prinzip der auch von Borland/Inprise/Borland/CDG/Codegear/(heute) Embarcadero eingesetzen Technik.

Einfach installieren und von Deinem Source bei Bedarf einbinden (zLibEx statt zLib).

Wo Du zusätzlich noch nachsehen mußt, ist bei Fremdkomponenten: Beispiel hierfür sind ältere PngImage von Gustavo Daud, THtml von David Baldwin (und jetzt David Baldwin, Sebastian Zierer und mir etc.pp.

Gruß Assertor

Moin, Moin,
hierzu eine wohl etwas naive Frage: Was verstehe ich in diesem Zusammenhang unter "Sicherheitslücke"? Ist das im Sinne von Datenschutz zu verstehen, oder ist damit gemeint, dass die Komprimierungsfunktionalität nicht immer verlässlich ist

Hi taaktaak,
Das ist keine naive Frage! Die Antwort lautet: Sowohl als auch

Die Sicherheitslücken von zLib ermöglichen Abstürze und Pufferüberläufe, also schreiben an unerwünschte Speicherbereiche, die bis hin zur Codeausführung reichen können.

Das würde bedeuten, wenn man einem Programm mit zLib (egal welcher Programmiersprache) manipulierte komprimierte Daten übergibt - z.B. durch falsche Eingangsdaten oder Zip/Gz-Archive - dies das Programm gehörig aus dem Tritt bringen kann bis hin zum Ausführen von Code von fremden Angreifern.

Ein Beispiel:
Du programmierst in Deine Delphi Anwendung z.B. eine Anzeigeroutine für PNG-Dateien oder einen Html-Webbrowser (THtml) ein. Dein Programm läuft mit Admin-Rechten, ich habe jedoch nur Benutzerrechte. Manipuliere ich jetzt ein PNG oder einen GZ-Stream, kann ich unter Umständen Dein Programm "abschießen" oder sogar meinen Code mit Deinen Rechten ausführen.

Nachtrag:
Das gleiche gilt auch für Datenbanken, die häufig zLib verwenden. Ich kann durch manipulierte Eingabedaten - z.B. in einem TEdit per Copy-Paste eingefügt, u.U. Code zur Ausführung bringen.

Das dies nicht nur theoretisch geht, sieht man an den ganzen WMF, PDF (und Co) Exploits, welche im Internet schön viele Rechner für Bot-Netzwerke und dergleichen "kapern".

Gruß Assertor

Quellen:
http://www.kb.cert.org/vuls/id/238678
http://www.kb.cert.org/vuls/id/680620
http://cve.mitre.org/cgi-bin/cvename...=CAN-2005-2096

Ahhh, das ist ja eine "heftige" Sache.
Vielen Dank für die ausführliche und informative Antwort.
Ist diese Sicherheitslücke mit der vorgenannten neuesten Version geschlossen?

Ja, ist es. Deswegen wundert es mich manchmal, warum z.B. meiner letzter Thread dazu so wenig Resonanz erzeugt. Ich habe auch schon hier Moderatoren gefragt, ob ein Extra Bereich für Sicherheitsthemen nicht sinnvoll wäre.

Bitte, gern geschehen. Ja, die Lücke ist mit zLibEx 1.2.3 geschlossen. Vermutlich wird hier Embarcadero auch irgendwann drauf umschwenken...

Gruß Assertor