Nie rozumiem w jaki sposób kod z obrazka miałby się wykonać: czy to po stronie serwera, czy to po stronie klienta. Przeglądarki PHP nie interpretują, a nawet gdyby, to chyba musiałby by mieć błędy klasy explorerowej, aby wykonać jakikolwiek KOD, który jest w OBRAZKU. To samo tyczy się serwera. Ktoś tam w PHP zrobił eval() na treści obrazka? No bez jaj proszę…

Wietrzę tu nierzetelnie przekazanie informacji (przez ZDNet).

Bez udziału programisty tworzącego dany serwis to raczej nie jest możliwe.

...to jakieś bzdury i tyle. PHP jest językiem wykonywanym PO STRONIE SERWERA - więc jak to ma szkodzić oglądającemu stronę.

Jak to ktoś napisał w komentarzach na ZDNet serwer poproszony o gifa wysyła po prostu dane binarne i nie dokonuje parsowania i wykonywania pliku... Security focus: zero trafień na temat PHP w GIFie... Redaktorom DI radze najpierw się chwilę zastanowić a nie bezmyślnie przepisywać jak leci... tak się rodzą niesamowite nowości w sieci.

Albo pan piszący oryginalnego newsa zmyślił wszystko, albo czegoś nie zrozumiał i dokonał własnego skrótu - który jest nonsensem.

Znajdzie mi najpier kretyna który wykonuje kod PHP na obrazkach ;P Chyba ze rozszerzenia tez nie sprawdzają ;D

zerknijcie tu http://www.phpcl(...)/67.html

Bezsens, to żaden bug, to tylko opisuje (o ile dobrze zrozumiałem) przykład glupoty jakiegoś prgoramisty, które źle sprawdza rozszerzenia plików z grafikami, źle jes wyświetla i nie sprawdza zawartości pliku.

w ten sposób to i txt może być niebezpieczne...

sprawa jest dosyc powazna ale dotyczy tylko serwisow do ktorych uzytkownicy moga wrzucac obrazki i dodatkowo jest zle napisany system wysylania plikow.
jak to dziala? na dwa sposoby.
1. atakujacy wrzuca gifa z kodem ktory ma wyrzadzic jakies szkody po stronie serwera. system wysylania plikow robi include/require i ... no i w tym momencie jest wykonywany kod.
2. atakujacy wrzuca gifa z kodem o nazwie obrazek.gif.php , w tym wypadku jezeli system przyjmowania plikow nie zmieni jego nazwy to atakujacy otwiera plik i kod wykonuje sie na serwerze.
sprawdzone, dziala.

@bzzz
Bez obrazy ale bzdury piszesz, problem nie jest powazny, takie blad to tylko programista-kretyn moze zrobić.
A co do punktów.
ad.1 - Co za idiota dołącza pliki za pomocą tych funkcjii? Przecierz one służa do łączenie plików z kodem php a nie do obrazków. Jeśli administrator używa tych funkcji do łączenia obrazków to znaczy że.
a) Jest idiotą
b) Nie potrafi programowac w php
c) Nie potrafi czytać
d) I nie wie do czego te funkcje służa
ad.2 - Jeśli programista nie potrafi sprzwdzić lub wcale nie sprawdza rozszerzenia pliku to znaczy że jest już totalnym idotą.

Ja tu nie widze żadnego zagrozenia, php jest (w tym przypadku) bezpieczny i w spelnia swoje zadanie, to programisci jak widac nie potrafia programowac, a to ze programisci robia bledy, nie jest wina php i powodem do paniki. Bo zawsze robili i robic beda.

oczywiscie wina stoi po stronie programistow a nie php ale fakt faktem ze spotkalem sie z kiepsko napisanymi stronami gdzie do wysylania plikow bylo uzyte chamskie include i w tym wypadku taka metoda dziala jak zloto. zagrozenie jest calkiem realne ale nie istnieje od dzisiaj to fakt.

Czasami wręcz smutno mi jak ktoś aż tak bardzo przejmuje się "losami świata" i próbuje wyjaśniać wszystkim w koło jaki to on mądry i sprytny.
To do:

@Michal2000 (20)
piszesz:
"...proble m nie jest powazny...."
"...Ja tu nie widze żadnego zagrozenia,..."
tak jakbyś brał odpowiedzialność za wszystkie serwisy w sieci do zgrywania grafik,
że pisali je geniusze, ludzie którzy nie popełniają błędów....
Trochę pokory kolego.
Nie ty ratujesz świat (tak myślę) i nie ty masz kontrolę nad wszystkimi skryptami.
Są takie portale co mają takie błędy i crack'erzy z pewnością je odkryją i tyle można powiedzieć.
Nie gorączkuj się.
Szkalujesz tych biednych administratorów jakoś zatracając sens informacji jaka dotarła z ZDNet a potem z DI.
Może powinieneś jakoś załapać że ta informacja może cię czegoś nauczyć. Jak myślisz? Czego?

Przeprowadziłem małe badania i mam całkiem pokaźną listę serwerów na które da się wgrać tą metodą swój kod PHP i go uruchomić.

Profil ofiary ataku:
- katalog uploadowanych plików jest publicznie dostępny lub można się do niego dostać za pośrednictwem jakiegoś "mądrego" pliku typu img.php
- wgrywane pliki mają ustawioną nieprawidłową maskę uprawnień (+x)
LUB
- nie jest dokonywane sprawdzenie rozszerzenia pliku

Moja lista serwerów spełniających te wymogi ma już prawie 10 pozycji, exploit działa i jest niebezpieczny.