Come "pulire" la grafica degli exploit incorporati?

Non è nei metadati. Il codice viene inserito nell'immagine che viene elaborata dal visualizzatore di immagini.

Ciò significa che l'opzione più semplice è quella di corrompere il codice. Ci sono molti modi per farlo:

• comprimi l'immagine (probabilmente il codice non è in grado di sopravvivere)
• converti l'immagine in un altro formato (che è un po 'come "prendere uno screenshot", ma più scalabile)
• componi dati extra sull'immagine (come una filigrana)

O puoi:

• scansiona l'immagine per il codice dannoso

La compressione diventa l'opzione più semplice in quanto tende a coprire l'intero file e produce un file più piccolo, che è una vittoria per la gestione delle risorse.

Da un commento sull'altra risposta:

Wow, great explanation. And happy to hear that converting is a reasonable option!

Purtroppo, l'altra risposta corrente non è corretta e i suggerimenti in essa contenuti, come l'utilizzo della conversione, non migliorano la sicurezza se presentati con un file di immagine dannoso con un exploit incorporato e possono persino peggiorare le cose.

Problemi con la conversione

Non c'è modo di garantire che il file sia pulito. Mentre altri hanno suggerito la conversione da un formato all'altro, probabilmente non è una soluzione sicura perché tutti usano le stesse librerie, con poche eccezioni. Se c'è un exploit incorporato in un'immagine PNG, è probabile che abbia come bersaglio libpng. Se è in un'immagine TIFF, avrà come target libtiff. Queste librerie verranno utilizzate sia che tu stia utilizzando un visualizzatore di immagini o un convertitore di immagini. Ciò significa che una vulnerabilità che colpisce un visualizzatore di immagini avrà, con elevata probabilità, ugualmente effetto su un convertitore di immagini.

Problemi con la compressione

La compressione dell'immagine spesso non tocca alcune parti del file. Se stai eseguendo una compressione senza perdita di dati "sopra" l'immagine, ad esempio comprimendola con un archiviatore, ciò preserverà qualsiasi exploit. Se lo comprimi con strumenti dedicati come optipng o pngcrush, alcune parti dell'immagine saranno compresse, mentre altre parti non lo saranno. Ciò significa che non vi è alcuna garanzia che si distruggeranno i componenti dannosi.

Problemi con l'antivirus

La scansione dell'immagine per codice dannoso funziona solo per gli exploit con firme conosciute. A differenza dei file eseguibili, un IPS / AV non può eseguire il rilevamento euristico su tali file, poiché ogni metodo di sfruttamento si comporta diversamente.

Conversione in modalità sandbox

Una soluzione potenziale ma parziale sarebbe quella di utilizzare un'utilità di conversione altamente sandbox, come graphicsmagick in una stretta sandbox SECCOMP. Usalo per convertire in qualcosa come PPM o BMP, che sono estremamente semplici e non conservano nulla di più dei dati di immagine grezzi e non compressi. Questo può essere successivamente riconvertito in qualsiasi formato desideri. Questa non è una soluzione perfetta perché, in teoria, l'utilità di conversione potrebbe essere compromessa per tentare di generare un file di output dannoso. Ciò richiederebbe concatenare gli exploit e non è probabilmente un problema realistico, quindi dovrebbe essere abbastanza buono.