Forencrack durch Signaturbilder?

Internet Internet Sicherheit
#1

Hallo Experten,

ich bin Mod in einem recht neuen Forum zu einem unbekannteren Online-Rollenspiel. Das Forensystem ist Woltlab Burning Board 2.3.4.

Um uns gegen Cr/Hacker zu schützen, meinte ein Bekannter, wir müssten unbedingt Bilder in der Signatur verbieten.
Ich kann mir jedoch nicht vorstellen, wie Code in Bildern ausgeführt werden kann (da sie quasi „dargestellt“, aber nicht „ausgeführt“ werden)?
Oder funktioniert sowas nur mit obskuren Bilderverlinkungen wie

[img]http://www.deppen.de/hacks\_getarnt/ref.php?id=crack1.jpg[/img]

Ist da was dran?
Kann man das irgendwie verhindern?

Desweiteren wäre ich für wirklich alle weiteren Tipps bezüglich Forensicherheit *sehr* dankbar!

Mit herzlichem Dank im Voraus,
kvida

#2

Auch hallo.

Um uns gegen Cr/Hacker zu schützen, meinte ein :Bekannter, wir
müssten unbedingt Bilder in der Signatur :verbieten.
Ich kann mir jedoch nicht vorstellen, wie Code in :Bildern
ausgeführt werden kann (da sie quasi :„dargestellt“, aber nicht
„ausgeführt“ werden)?

Sicher ? Schlagwort ‚WMF-Lücke‘: http://www.heise.de/security/result.xhtml?url=/secur…
http://www.heise.de/security/news/meldung/68033 ?
Wer weiss, was bei den Programmen zur Bildverarbeitung noch so alles schief geht… ?

HTH
mfg M.L.

#3

Um uns gegen Cr/Hacker zu schützen, meinte ein Bekannter, wir
müssten unbedingt Bilder in der Signatur verbieten.
Ich kann mir jedoch nicht vorstellen, wie Code in Bildern
ausgeführt werden kann (da sie quasi „dargestellt“, aber nicht
„ausgeführt“ werden)?

Vor allem muss, um entspr. Lücken zu nutzen, das Bild zunächst einmal interpretiert, also dargestellt werden. Interpretation und Darstellung sind aber nicht Aufgaben der Forensoftware, sondern der Browser der Clients. Somit sind ‚vergiftete‘ Bilder für den Server völlig ungefährlich. Wenn die cgi-Software aber Lücken im Umgang mit Binaries beliebiger Art aufweist, kann natürlich auch der Server gefährdet werden. Dieses Problem ist aber vom Typ der Binaries vollkommen unabhängig. Wolltest du, um dieses Problem zu umgehen, den Upload von Bildern verbieten, müsstest du konsequenterweise jegliche Interaktion unterbinden, da eine mangelhafte Verarbeitung von Texten, Mausevents etc. etc. etc. den Server gleichermassen gefährden.

Auf Deutsch: Dein Bekannter ist ein Dampfplauderer
Schorsch