Directory Contents Search << >>


DaVinci 4: Sicherheitsüberlegungen

Die Verarbeitung von Grafikdateien aus nicht vertrauenswürdigen Quellen (Internet, fremde CD-ROMs) birgt ein Sicherheitsrisiko. In bösartiger Absicht erstellte Dateien könnten Programmfehler ausnutzen, mit denen im schlimmsten Fall Programmcode aus der Grafikdatei in der Arbeitsumgebung Ihres Programmes ausgeführt werden könnte.

Obwohl bei der Entwicklung der DaVinci 4 Bibliothek stets ein Augenmerk auf die Prüfung von Eingabedaten vor ihrer Verarbeitung gelegt wurde, enthält jede umfangreiche Software unvermeidlich auch Fehler.

Empfehlungen

Falls Ihre Anwendung Grafikdateien aus nicht vertrauenswürdigen Quellen verarbeitet, beachten Sie bitte folgende Ratschläge:

Verwenden Sie kein einstufiges Sicherheitskonzept, das sich ausschließlich nur auf fehlerfreie Anwendungssoftware verlässt. Importieren Sie Grafikdateien aus nicht vertrauendwürdigen Quellen niemals mit einem Benutzerkonto mit Administrator bzw. "root"-Privilegien!

Wenn für Ihre Anwendung nur ein bestimmtes Grafikformat benötigt wird, dann verwenden Sie nicht den IPT_SELECT Mechanismus zur automatischen Erkennung des Dateiformats, sondern geben Sie das zu verwendende Format vor.

Der Programmcode zum Import des unkomprimierten .bmp - Formats ist am Einfachsten, daher ist die Wahrscheinlichkeit von ausnutzbaren Fehlern hier am Geringsten. Danach kommen die Formate .png und .jpg, deren Importcode von mittlerer Komplexität und besonders gut getestet ist. TIFF und JPEG-2000 Dateien sind besonders Komplex. WMF und EMF-Dateien sind vom Design her schon problematischer.

Wenn uns Programmfehler bekannt werden, stellen wir korrigierte Versionen von DaVinci 4 zur Verfügung. Holen Sie von Zeit zu Zeit die jüngsten Aktualisierungen von unserem Webserver. Teilen Sie uns bei der Bestellung eine E-Mail Adresse mit, die wir über Sicherheitsaktualisierungen informieren können.

Bei Windows sind 64-Bit Systeme zu bevorzugen. Für Linux gibt es Schutzumgebungen mit erhöhter Sicherheit, z.B. selinux.

Der durch eine bösartige Datei angerichtete Schaden kann in vielen Fällen begrenzt werden, wenn der eigentliche Grafikimport in einem eigenen Kindprozess ausgeführt wird. Erzeugen Sie mit CreateProcess, system, popen, fork oder ähnlichen Techniken einen eigenen Prozess, der komplexe Eingabedaten ins einfache .bmp-Format wandelt. Diesen Prozess können Sie dann mit selinux und ähnlichem besonders absichern. Selbstverständlich sollte ihr Anwendungsprogramm dann den ExitCode des Kindprozesses auch prüfen und bei einem Fehler sinnvoll reagieren.

Durch den Einsatz virtueller Maschinen (Vmware, qemu, Virtual PC) kann eine weitere Sicherheitsebene eingezogen werden, die bösartigen Code auf eine Teilmaschine begrenzt.

Die Verwendung von selten verwendeter Infrastruktur (z.B. Solaris auf Sparc Prozessor) verringert das Risiko eines erfolgreichen Angriffs, solange der Angreifer die Infrastruktur nicht kennt. Veröffentlichen Sie keine Angaben über die von Ihrem Unternehmen konkret vorgenommenen Schutzmaßnahmen.

Siehe auch

Funktion ipImportInd

Menü Import/Export

-


Valid HTML 4.01!