Peter Gramantik von der Sicherheitsfirma Sucuri berichtet in einem Blogpost über ein Sicherheitsproblem, das theoretisch schon länger bekannt ist: Prinzipiell lässt sich Schadcode in Bilddateien verstecken, und zwar im Bereich für Metadaten.
Dann wird die Bilddatei mit Javascript aufgerufen und der Schadcode über eine Programmschleife dekodiert.
Bei einem von Sucuri entdeckten realen Angriff in freier Wildbahn verbirgt sich der verräterische Quellcode einer iFrame-Injection-Attacke in den Metadaten einer PNG-Datei.