Bösartige JPEG-Bilder lösen PHP-Sicherheitslücken aus
Zwei kritische Speicher-Sicherheitslücken in den Bildverarbeitungs-Funktionen könnten Angreifern ermöglichen, sensible Heap-Speicherinhalte preiszugeben oder Denial-of-Service-Angriffe über speziell konstruier

Kurzfassung
Warum das wichtig ist
- Zwei kritische Speicher-Sicherheitslücken in den Bildverarbeitungs-Funktionen könnten Angreifern ermöglichen, sensible Heap-Speicherinhalte preiszugeben oder Denial-of-Service-Angriffe über speziell konstruier
- Diese Mängel, die vom Forscher Nikita Sveshnikov ext/standard-Erweiterung, betreffen die weit verbreiteten Funktionen getimagesize und iptcembed, die JPEG-Metadaten und IPTC-Daten verarbeiten.
- PHP-Speicher-Sicherheitslücken Die erste Schwachstelle, mit der CVE-ID CVE-2025-14177 und einem CVSS-Score von 6.3 erfasst, ermöglicht eine Informationspreisgabe, wenn die PHP-Funktion getimagesize JPEG-APP-Segmente Mehrstück-Lese-Modus verarbeitet.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Zwei kritische Speicher-Sicherheitslücken in den Bildverarbeitungs-Funktionen könnten Angreifern ermöglichen, sensible Heap-Speicherinhalte preiszugeben oder Denial-of-Service-Angriffe über speziell konstruier
Warum relevant
Betroffene Versionen umfassen PHP 8.1.* vor 8.1.34, 8.2.* vor 8.2.30, 8.3.* vor 8.3.29, 8.4.* vor 8.4.16 und 8.5.* vor 8.5.1.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Betroffene Versionen umfassen PHP 8.1.* vor 8.1.34, 8.2.* vor 8.2.30, 8.3.* vor 8.3.29, 8.4.* vor 8.4.16 und 8.5.* vor 8.5.1. Die Schwachstelle geht auf einen Fehler in der Funktion php_read_stream_all_chunks zurück, der Datenstücke bei der Lesevorgang ängt.
Bei der Verarbeitung, die Metadaten wie EXIF- oder IPTC-Daten enthalten, weist die Funktion uninitialisierten Heap-Speicher zu. Der Pufferzeiger wird jedoch nach jedem Lesevorgang nicht inkrementiert.
Dadurch überschreiben nachfolgende Blöcke den Anfang des Puffers, wodurch die letzten Bytes uninitialisiert bleiben und Fragmente des Prozessspeichers offengelegt werden.
Sicherheitslage und Risiko
Angreifer können diese Schwachstelle ausnutzen, indem sie JPEG-Dateien mit großen APP1-Segmenten erstellen, die über mehrere Blöcke hinweg gelesen werden sollen, insbesondere wenn die Standard-Blöckengröße von 8.192 Bytes bekannt ist.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/malicious-jpeg-images-php-memory-safety-vulnerabilities/
- Quell-URL
- https://cybersecuritynews.com/malicious-jpeg-images-php-memory-safety-vulnerabilities/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Meta integriert ältere DDR4-Speicher in neue Server, um DDR5-Kosten zu senken
Um steigende Hardwarekosten zu bewältigen, plant Meta, veraltete DDR4-Speicher durch den selbst entwickelten Vistara-ASIC-Chip in seine moderne Infrastruktur zu integrieren. Diese Lösung nutzt den CXL 2.0 Type-3-Standard und ermöglicht es dem Unternehmen, alte Speichermodule aus nicht mehr genutzten Servern in neuen Systemen mit AMD-Turin-Prozessoren wiederzuverwenden, wodurch eine Gesamtkapazität 1 TB pro Server erreicht wird.
30.06.2026
Live Redaktion




