jpg Exploit - jetzt auch mit Baukasten

[Sven]

Zitat:

Zitat von Heise Online

JPEG-Exploits per Mausklick für jedermann
Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder ist aufgetaucht. Nach dem Start des Tools muss man nur noch eine URL zu einem Server eingeben, die auf ein dort gespeichertes beliebiges Programm zeigt. Ein Klick auf "Make" erzeugt dann ein JPG-Bild auf der Festplatte. Dessen Ansicht provoziert bei ungepatchten Applikationen unter Windows einen Buffer Overflow. In der Folge landet im Bild enthaltener Code auf dem Stack, der bei der Ausführung das Programm von der angegebenen URL nachlädt und startet.

Quelle: http://www.heise.de/newsticker/meldung/51459

[se7en]

Kann mir jemand erklären was "...bei ungepatchten Applikationen unter Windows..." bedeuten soll?

[Comet]

mal windowsupdaten, auch wenn ich glaube gesichert zu sein, man weis ja nie

[Sven]

Jo.... zB Office.
Selbst wenn XP mit SP2 und sonstigen neuesten Bugfixes drauf ist und du dann ein ungepatchtes Office verwendest kannst du dir damit etwas einfangen.

Es müssen wohl sämtliche Anwendungen die jpgs lesen können geschützt/gepatcht werden.

[se7en]

danke für die Erklärung. Hört sich aber nicht gut an...

[MyersGer]

noch was dazu:

http://www.onlinekosten.de/news/artikel/15594

[Apokus]

Also zumindest der baukasten mit GUI ist alt.... den gabs schon vor monaten auf einschlägigen seiten.. von daher würd ich mir da nicht so die gedanken drum machen , und wer in der heutigen zeit noch ungeschützt rumläuft.. selber schuld

[EEBKiller]

Zitat:

Zitat von Sven

Es müssen wohl sämtliche Anwendungen die jpgs lesen können geschützt/gepatcht werden.

Soviel ich weiss, greifen die Programme doch meist über nen Filter, also so ne Anzeige-Bibliothek auf die Pics zu, zumindest die Dinge, die direkt von M$ kommen, wie Paint, Office, Photo Editor. Da würde es doch theoretisch helfen, den Filter eben zu updaten

[PlayFair]

Genau gegen diese Art von Code einschmuggeln wirkt das NX Bit moderner CPUs.

Die erste Bewährungsprobe von Athlon64 und XP SP2.

[Naos]

Dann eben hier (anscheinend schon etwas aktiv, nur noch eine Frage der Zeit bis zum eigenen smtp):

**NEWS**

"Einer Meldung auf Bugtraq zufolge gibt es bereits erste Versuche, die JPEG-Sicherheitslücke unter Windows für Angriffe auszunutzen. In mehreren Newsgroups hat ein Unbekannter präparierte Bilder gepostet, die den JPEG-of-Death-Exploit in sich tragen. Anders als die vorangegangenen Exploits ist dieser in der Lage, auf einem Netzwerk-Port eine Shell (cmd.exe) respektive Hintertür zu öffnen, mit der der Zugriff auf den PC über das Netzwerk möglich ist. Prinzipiell fehlt dem Exploit in der Evolution zum Wurm nur noch eine Stufe: eine eigene SMTP-Engine, um sich in Mails als Bildanhang zu versenden.

Die meisten Hersteller von Antivirensoftware haben Signaturen entwickelt, mit der die Viren-Scanner bösartige Bilder erkennen, die den Exploit in sich tragen. Einige Scanner schlagen auch bei den Demo-Bildern Alarm, die Applikationen nur zum Absturz bringen. Die bekannt gewordene zweite Lücke bei der Verarbeitung von JPEG-Bildern auf voll gepatchten System ist mittlerweile analysiert. Sie führt nur zum Absturz und kann nicht zum Einschleusen von Code ausgenutzt werden. Microsoft ist dieser weitere Fehler wohl schon seit längerem bekannt, er soll aber erst mit Service Pack 3 für Windows XP und Service Pack 5 für Windows 2000 beseitigt werden.

Anwender sollten darauf achten, dass ihr Virenscanner alle Dateien auf dem System untersucht. In einigen Produkten sind Erweiterungen von der Überprüfung ausgenommen, unter anderem auch .jpg. Selbst wenn .jpg explizit angegeben ist, muss das keinen hundertprozentigen Schutz bieten, da ein präpariertes Bild ja auch die gültige Endung .jpeg tragen kann. Zudem ignorieren viele Anwendungen die Endung und öffnen ein Bild auch dann als JPEG, wenn es beispielsweise bild.gix heisst. Anwender sollten schleunigst die von Microsoft bereitgestellten Patches installieren, sofern sie das noch nicht getan haben."

Quelle: heise.de