Bösartige JPEG-Bilder lösen PHP-Sicherheitslücken aus

Sicherheitslage und Risiko

Heap-Buffer-Overflow in iptcembed Die zweite Schwachstelle betrifft die Funktion iptcembed, die binäre IPTC-Daten in JPEG-Bilder einbettet.

Dieser klassische Heap-Buffer-Overflow entsteht durch einen „measure once, read forever"-Fehler: Die Funktion weist einen Ausgabepuffer basierend auf einem einzigen fstat-Ergebnis zu und liest Daten bis zum Ende der Datei (EOF) weiter, ohne Kapazitätsprüfungen durchzuführen.

Die Ursache liegt darin, wie iptcembed nichtstandardkonforme Dateitypen wie FIFOs, Pipes und Sockets verarbeitet. Bei diesen Dateitypen ist das Feld st_size, das ückgegeben wird, gleich 0, wodurch die Funktion einen zu kleinen Puffer zuweist.

Technischer Hintergrund

Der Code kopiert Eingabedaten anschließend in den Puffer spoolbuf, ohne den verfügbaren Speicherplatz zu überprüfen, was Schreibzugriffen außerhalb der Grenzen führt, wenn der Datenstrom mehr Daten enthält, als zugewiesen wurden.

Diese Schwachstelle führt zudem zu einem Race Condition vom Typ „Time-of-Check Time-of-Use" (TOCTOU), bei dem reguläre Dateien nach dem Aufruf, aber vor dem Abschluss der Leseoperation Größe zunehmen können.

Angreifer können dies ausnutzen, indem sie große Datenmengen über speziell gestaltete JPEG-Strukturen einleiten, die den Parser in den Modus „alles bis zum Ende der Datei lesen" zwingen und so eine Heap-Korruption auslösen.

Sicherheitslage und Risiko

Beide Schwachstellen nutzen Schwachstellen Speichermanagement der Zend Engine, insbesondere Funktionen zur Verarbeitung getimagesize betrifft die Funktion php_read_APP, die anwendungsspezifische Segmente (APP0–APP15) verarbeitet, die Metadaten wie EXIF-Koordinaten, IPTC-Autoreninformationen und XMP-Daten enthalten.

Für CVE-2025-14177 beginnt der anfällige Codepfad, wenn getimagesize Speicher mit emalloc allokiert, was initialisierte Speicherzeiger zurückgibt.

Tritt das Lesen mehrerer Blöcke auf, schreibt der php_stream_read-Makro an dieselbe Zieladresse, ohne Verschiebungen für bereits gelesene Bytes anzuwenden, wodurch der letzte Block den Anfang des Puffers überschreibt, während der Endbereich unberührt bleibt.

Technik und Auswirkungen

Der Pufferüberlauf in iptcembed tritt beim Verarbeiten von M_APP13- oder M_SOS (Start des Scans)-Markern auf, bei denen der Parser in den php_iptc_read_remaining-Modus wechselt und Daten bis zum Dateiende kopiert. Die anfällige Funktion php_iptc_get1 vergrößert den Schreibzeiger (poi) für jedes Byte, ohne die zugewiesene spoolbuf_end-Grenze zu prüfen.

Forscher haben beide Schwachstellen durch praktische Exploits nachgewiesen. Für die Speicheroffenbarungs-Schwachstelle erstellten sie ein minimales JPEG mit einem großen APP1-Segment, das über mehrere 8.192-Byte-Blöcke hinweg gelesen werden soll.

Anschließend führten sie Heap-Spraying mit Marker-Strings durch, um den Speicher zu füllen, und lasen die Datei über php://filter, um die Verarbeitung in mehreren Blöcken zu erzwingen. Der Proof-of-Concept gelang es erfolgreich, den Marker-String „LEAK-MARKER-123!" aus nicht initialisiertem Heap-Speicher zu entlarven.

Der iptcembed-Überlauf wurde mit einer Zwei-Terminal-Konfiguration

Der iptcembed-Überlauf wurde mit einer Zwei-Terminal-Konfiguration unter Verwendung benannter Rohre (FIFO) demonstriert, bei der ein Terminal PHP aus dem Rohr liest und ein anderes eine angefertigte JPEG-Struktur gefolgt von 8 Daten einspeist.

Da FIFOs den st_size-Wert als null melden, war der zugewiesene Puffer zu klein, um den eingehenden Datenstrom aufzunehmen, was AddressSanitizer zum Erkennen des Heap-Pufferüberlaufs veranlasste.

Patches und Sanierung: PHP-Entwickler adressierten CVE-2025-14177, indem sie php_read_stream_all_chunks so modifizierten, dass der Pufferzeiger nach jeder Leseoperation vorangeschoben wird (buffer += read_now), um das sequenzielle Anhängen öcken sicherzustellen.

Sicherheitslage und Risiko

Die Behebung wurde durch eine Regressionstest unter ext/standard/tests/image/gh20584.phpt begleitet, um zukünftige Vorkommnisse zu verhindern. Für die IPTC-Embed-Schwachstelle fügten Entwickler den Parameter spoolbuf_end zu den Funktionen php_iptc_get1 und php_iptc_put1 hinzu, Grenzwertprüfungen durchzusetzen.

Der aktualisierte Code gibt nun sicher EOF zurück, wenn der Puffer voll ist, statt außerhalb der Grenzen zu schreiben. Organisationen sollten unverzüglich alle Hosts und Container, die PHP ausführen, inventarisieren, wobei öffentlich zugängliche Upload-Endpunkte, CMS-Thumbnailer, Webmail-Systeme und Bild-CDNs priorisiert werden.

Updates sollten auf die neuesten gepatchten Versionen angewendet werden: 8.1.34, 8.2.30, 8.3.29, 8.4.16 oder 8.5.1 und höher. Divya ist eine Senior Journalistin bei