Изображения PNG можно использовать для осуществления DoS-атаки Опции

[Decker]

Исследователи безопасности обратили внимание на возможность создания PNG-файлов, распаковка которых занимает всю доступную память. Определённый набор настроек в заголовке в сочетании с особенностями распаковки нулевых областей при использовании метода сжатия DEFLATE (каждая пара бит может кодировать 258 нулевых байт) позволили создать PNG-изображение размером 6 Мб (в форме bzip-архива 420 байт), которое распаковывается в картинку 50 гигапикселей (225000 × 225000), которая в раскладке 3 байта на пиксель потребует для своей обработки буфера в 141.4 Гб.

Как правило, попытка открытии такой картинки в приложениях или браузере приводит к завершению процесса из-за исчерпания доступной памяти. В качестве примеров атак отмечается подстановка данной картинки на сайт в качестве изображения favicon.ico, открываемого браузером по умолчанию, или загрузка в online-сервисы в качестве аватара для инициирования сбоев скриптов обработки изображений. Потенциально атака может быть осуществлена и для других типов контента, в которых используется метод сжатия DEFLATE.



Читать дальше