Warnung und Nachfrage
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
angreifer
beschrieb
bestehen
betracht
byte
crack
datei
fehler
folgenden bytes
hacker
kommentarfeld
medien
minute
parsen
positiv
radio
stehen
trojaner
warnung
werte einzelner pixeln
-
Hallo,
seit Mitte diesen Monats ist ein kritischer Fehler bei dem Parsen von von JPEG Dateien (das sind die ganzen Bildchen im Internet) bekannt. Es sind so gut wie alle Programme von Microsoft betroffen, die Bilder verarbeiten (weitere Infos und den Patch unter: http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx ). Ausserdem scheint seit ca. 2 Tagen der erste Virus dazu zu kursieren. Das war jetzt erstmal die Warnung (empfehle allen MS-Benutzern, den Patch zu installieren und vor der Installation auf jeden Fall Hacker- bzw. Crackerseiten im Internet zu meiden).
Jetzt meine Frage dazu: Habt ihr davon was mitbekommen? Kam irgendwas in den Medien oder so? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hm, das erste mal als ich davon geh?rt hatte war vor 2 Minuten, sprich als ich deinen Thread gelesen habe. Ich bin wei?gott kein Hinterw?ldler, aber ich habe davon nichts mitbekommen.
MfG
Skullmoon -
Naja schau aufm heise newsticker nach dort stehts auch :)
Au?erdem noch dazu auf www.derstandard.at dort hab ichs gestern gelesen. -
Das es bei heise steht war mir schon klar (obwohl mein System schon gepatcht war, bevor die die Nachricht rausgebracht haben *g*). Es ging mir jetzt eigentlich um Massenmedien. Da ich nie Radio h?re, selten Fersehen schaue und noch seltener Tageszeitungen lese, wollte ich wissen, wie und vor allem ob das Bestehen dieser ziemlich krassen Sicherheitsl?cke denn bei der nicht heise oder bugtraq lesenden Bev?lkerungsmehrheit ankommt.
-
dickes lob an 0-checka, ich h?re davon zu erstenmal und ahbe mir promt das update gesaugt!!! echt BIG THX!!!
f?r alle deutschen versionen der software vergesst nicht auf deutsch umzustellen beim download bei der MS downloadseite, da sonst das englische update (standart) nicht zu installieren geht!
MFG -
also ich hab nichts mitbekommen
hab des jetz das erste mal geh?rt als du was dazu geschrieben hast,... muss ich ma schaun ob ich irgendwo was finde... -
ttobsen schrieb:
diese nachricht kam vorgestern in den anchrichten und kann auf ProSieben Text ab Seite 501 auch nahcgelesen werden.
Ahhh... thx. Laut Aussagen meiner Freunde, denen ich vor zwei Wochen eine Warnung zugeschickt hatte, kam n?mlich gar nichts in den Nachrichten. Hatte mich schon gewundert.
ttobsen schrieb:
hab gerade ne informative seite zu dem thema entdeckt!
http://www.sophos.de/virusinfo/articles/perrun.html
Na ja... wenn du mal auf das Datum der Seite schaust, dann k?nnte es sein, das du die Infos leicht veraltet findest...
Bei der Sache geht es eher um das Verstecken von Code in harmlosen Dateien, der dann ?ber eine Windows Schwachstelle von einem anderen Programm aus der jpeg-Datei gelesen und ausgef?hrt wird. Es reicht also in dem Falle nicht das Betrachten der Bilder auf einem nicht infizierten System, sondern das System muss schon vorher infiziert sein. Bei der neuen Sicherheitsl?cke reicht auf einem nicht infizierten System das blosse Betrachten der Bilder, um sich einen Trojaner, Virus oder sonst was einzufangen.
ttobsen schrieb:
ich versteh nur nicht ganz wie soetwas funktionieren kann? in JPG dateien ist ausf?hrbarer code oder wie? wie wird dieser code ausgef?hrt? stehen in jpg dateien nicht nur die RGB werte einzelner pixeln welche dann komprimiert werden?
Ich versuche es mal so einfach wie m?glich zu erkl?ren, auch wenn es ungenau ist:
In jpeg-Dateien gibt es Kommentarfelder. Diese Kommentarfelder sieht man nciht und sie werden nur von einigen Programmen gelesen oder beschrieben. Die L?nge des Kommentarfeldes wird vorher mit einer bestimmten vorangehenden Zeichensequenz in zwei folgenden Bytes in der Datei dem lesenden Prozess mitgeteilt. Dabei werden in in diesem Wert, der zwei Bytes breit ist, auch die zwei Bytes L?nge des Kommentarfeldheaders dazugerechnet. Beispiel: Kommentarfeld ist 300 Zeichen/Bytes lang - die zwei Bytes sehen dann so aus:
00000001 00101110 (bin?r)
302 (der Wert dieser beiden Bytes als Dezimalzahl)
In dem Kommentarl?ngeheader steht also die L?nge des Kommentarfelds + die zwei Bytes des Feldes selbst. Daher ergibt sich, das eigentlich der geringste Wert, der in den zwei Bytes stehen d?rfte 2 sein m?sste (0 L?nge des Kommentarfeldes + die 2 Bytes, in denen die 2 selber steht).
Microsoft hat den Fehler gemacht, einfach den Wert in den zwei Bytes immer zwei abzuziehen. Stand da also 12 drin (Kommentarfeld L?nge 10), dann wurde daraus 10 und MS wusste, das Kommentarfeld ist 10 Bytes lang. Das geht auch gut solange nicht jemand auf die Idee kommt, in den zwei Bytes statt dem kleinsten Wert (also 2) was noch kleineres, also 0 oder 1 einzutragen. Wenn man in C 0 - 2 rechnet, dann kommt da nur -2 raus, wenn man auch erwartet, das der Ergebnistyp auch negative Formen annehmen kann. Microsoft hat aber kategorisch angenommen, das immer eine positive Zahl rauskommt. Wenn man die 0 - 2 nicht als negative Zahl, sondern als positive Zahl interpretiert, dann hat sie den Wert 65534 (warum das so ist, ist mir jetzt einfach zu lang zu erkl?ren). Und weil Microsoft die -2 vorher auch noch in eine 4-Byte Zahl umwandelt, wird daraus sogar 4294967294. Und diese Anzahl an Bytes steht nun dem Angreifer bereit, um seinen Code da rein zu schreiben und ihn auszuf?hren. Wie man Code in Speicher schreibt, kann man diversen How-To-Crack Tutorials im Internet entnehmen. So was erkl?r ich hier nicht. Der Fehler liegt also daran, das Microsoft (wie so oft) von etwas ausgegangen ist, das unter bestimmten Umst?nden nicht den Erwartungen entspricht. -
da gibts nen scan tool (en)
http://www.diamondcs.com.au/jpegscan/
gui & console version
deep greetz & best regards -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage