Запретить выполнение кода из графических файлов.

судя по вашему комментарию, вы даже примерно не представляете как работает, то что сделал тот умник.

ТС - на одном из своих проектов решил подобную проблему мелким скриптом который проверяет отдаваемый картинкой заголовок если он корректен (200,304) выводится пользовательская-картинка если нет картинка-заглушка.

Чуть не в тему:
Есть проблемка хуже, тут некоторые на сайте через pdf доки умудряются подсадить на комп жертвы какуюто хрень, которая отсылает два файлика из файрфокса на их почту. В этих файликах содержатся все ваши сохраненные пароли.
Подсадка правда сразу видна: При открытие pdf на мгновение вылазить командная строчка и тут же закрывается...если так было, то считайте эта херня уже у вас в компе. В процессах ее нет, антивирусы молчат
Столкнулся с ней недели две назад, но видимо чуть устаревшая версия была и аваст спалил заразу, когда начал про нее читать вот выяснил то что выше...

а можно по конкретней что за скриптик ?! Я где то читал проверять изображения через getimagesize() , но как это отобразиться на производительности ? не настанет период тормозов ?




Удивлен что аваст вообще хоть что то нашел .

Не должно сильно отобразится. Сделайте - опыт покажет.

Я очень хорошо себе это представляю, такая же проблема была несколько лет назад у vBulletin и тут без правки скриптов чата не обойтись.
Просто возможно Вы меня не так поняли, о чём я говорил в предыдущем сообщении.

это уязвимость в pdf формате, используется в большинстве связок эксплоитов на сегодняшний день.
конкретнее здесь, а также в "составе" и исходниках тех самых связок.

расскажите как правильно?

глупее сложно придумать, проверять нужно только заголовок.

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.