Dus iedereen opgepast en dat er maar weer snel updates komenquote:XP SP2 en Server 2003 kwetsbaar
Jamie Biesemans
28 december 2005
Bron: ZDNet http://zdnet.nl/news.cfm?id=52275&mxp=105
Twee beveiligingsfirma's waarschuwen voor een nieuwe trojan waartegen voorlopig geen verdediging bestaat. Ook Windows XP met Service Pack 2 (SP2) en alle actuele patches is kwetsbaar. Verwacht wordt dat Microsoft heel snel een patch voor het probleem gaat vrijgeven. Normaal gesproken zou het volgende Microsoft-veiligheidsbulletin pas op 10 januari verschijnen.
Waarschuwingen over de pas ontdekte kwetsbaarheid zijn te lezen bij Secunia en F-Secure. Beide zijn gealarmeerd omdat er op het internet Trojaanse paarden rondwaren die van het lek gebruikmaken. Secunia kwam de kwetsbaarheid op het spoor na een melding op de mailinglijst BugTraq.
Het is relatief uitzonderlijk dat hackers nog op dezelfde dag dat er informatie over een kwetsbaarheid gepubliceerd wordt, er misbruik van weten te maken. Zo'n zero day exploit is een ernstig veiligheidsrisico, omdat nagenoeg geen enkele computergebruiker dan al van het probleem op de hoogte is.
De kwetsbaarheid zit in een component dat Windows Metafile-bestanden verwerkt en op het scherm toont. Vooral mensen die surfen met Internet Explorer lopen gevaar, omdat de Microsoft-browser de bestanden (te herkennen aan de extensie .WMF) automatisch opent. Voor IE-gebruikers volstaat bijgevolg een bezoek aan een site met malafide WMF-bestanden om geïnfecteerd te raken met een Trojan.
Het zou gaan om een andere WMF-kwetsbaarheid dan die uit de november-editie van Microsofts veiligheidsbulletin.
Firefox en Opera blijven niet helemaal buiten schot, al is een infectie veel minder waarschijnlijk. De openbronbrowser en Opera tonen WMF-bestanden niet en vragen om de Windows Picture and Fax Viewer te openen. Als een gebruiker hiermee instemt, raakt zijn machine alsnog besmet.
Een geluk bij een ongeluk is dat Firefox 1.5 door een bug abusievelijk Windows Media Player (die WMF-bestanden niet kan tonen) aanbiedt in plaats van Windows Picture and Fax Viewer, merkt Mika Hyppönen van F-Secure op.
Hoe veel specifieker dan "arbitrary code execution" kan je zijn?quote:Op woensdag 28 december 2005 17:02 schreef AlphaOmega het volgende:
Interessant dat ook al vermeld wordt wat de troyan aanricht.... heel nuttig...
quote:MS WINDOWS METAFILE VULNERABILITY HOTFIX v1.3
PLEASE READ THE FOLLOWING CAREFULLY!
This is a temporary fix for the MS Windows
Metafile file vulnerability:
http://www.hexblog.com/2005/12/wmf_vuln.html
It has been tested on Windows 2000, Windows XP,
and Windows XP Professional 64bit.
Please use it at your own risk and switch
to the official patch from Microsoft as soon
as it is be available.
THIS FIX IS PROVIDED 'AS IS' WITHOUT WARRANTY OF
ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING,
BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF FITNESS
FOR A PURPOSE, OR THE WARRANTY OF NON-INFRINGEMENT.
IN NO EVENT SHALL ILFAK GUILFANOV BE LIABLE TO YOU
OR ANY THIRD PARTIES FOR ANY SPECIAL, PUNITIVE,
INCIDENTAL, INDIRECT OR CONSEQUENTIAL DAMAGES
OF ANY KIND, OR ANY DAMAGES WHATSOEVER, INCLUDING,
WITHOUT LIMITATION, THOSE RESULTING FROM LOSS OF USE,
DATA OR PROFITS, WHETHER OR NOT HE HAS BEEN ADVISED
OF THE POSSIBILITY OF SUCH DAMAGES, AND ON ANY THEORY OF
LIABILITY, ARISING OUT OF OR IN CONNECTION WITH THE USE
OF THIS SOFTWARE.
Copyright 2006 by Ilfak Guilfanov, ig@hexblog.com
http://www.hexblog.com
quote:Op woensdag 4 januari 2006 00:53 schreef johnneman het volgende:
lang leve Linux en Linus Torvalds
Ja hitman pro duurt echt te langquote:Op woensdag 4 januari 2006 01:33 schreef SHE het volgende:
hitman pro haalt bij mij dus niet alles weg...heb meerdere malen ernaast nog meer onzin aangetroffen
en die kutscans duren te lang
dood aan alle v-makers...echt, volgens mij huilen die gasten als ze klaarkomen..kan niet anders
Firefox of niet maakt rottig weinig uit met deze exploit. Het gaat om het parsen van metafiles. Op het moment dat FF een wmf vermomd als jpeg wil renderen ben je gewoon de sjaak. FF gebruikt daar namelijk gewoon de windows-dll's voor De onofficiele patch doet het redelijk ok, ik ben nog geen verlies van functionaliteit tegengekomen..quote:Op woensdag 4 januari 2006 09:16 schreef nyny83 het volgende:
Leuk weer allemaal... ik ben gelukkig iets minder kwetsbaar met mn firefox
Ik mis alleen nog:quote:Op woensdag 28 december 2005 16:42 schreef Crazy-M het volgende:
Was net beetje aan het surfen en kwam op www.zdnet.nl dit bericht tegen:
[..]
Dus iedereen opgepast en dat er maar weer snel updates komen
Een lek dat al ruim 15 jaar bestaat... en geen hacker die er nog gebruik van heeft gemaakt alvorens de 'experts' ermee naar buiten komen? Volhouden.quote:Het is relatief uitzonderlijk dat hackers nog op dezelfde dag dat er informatie over een kwetsbaarheid gepubliceerd wordt, er misbruik van weten te maken.
quote:Op woensdag 4 januari 2006 09:43 schreef ToMaSZ het volgende:
[..]
Firefox of niet maakt rottig weinig uit met deze exploit. Het gaat om het parsen van metafiles. Op het moment dat FF een wmf vermomd als jpeg wil renderen ben je gewoon de sjaak. FF gebruikt daar namelijk gewoon de windows-dll's voor De onofficiele patch doet het redelijk ok, ik ben nog geen verlies van functionaliteit tegengekomen..
Dit laatste komt toch aardig overeen met wat nyny83 hierboven zegt.quote:Firefox en Opera blijven niet helemaal buiten schot, al is een infectie veel minder waarschijnlijk. De openbronbrowser en Opera tonen WMF-bestanden niet en vragen om de Windows Picture and Fax Viewer te openen. Als een gebruiker hiermee instemt, raakt zijn machine alsnog besmet.
Een geluk bij een ongeluk is dat Firefox 1.5 door een bug abusievelijk Windows Media Player (die WMF-bestanden niet kan tonen) aanbiedt in plaats van Windows Picture and Fax Viewer, merkt Mika Hyppönen van F-Secure op.
Zoals het hier staat: ja. Mooi theoretisch gelul, maar de exploit wordt natuurlijk niet uitgebuit door een wmf direct, met de juiste fileheader/extensie naar de user te sturen. Zoals ik eerder zei: als een kwaadwillende een wmf vermomt als jpeg (niet moeilijk) en het ding wordt in firefox of welke browser dan ook geparset, dan gaat het ook fout.quote:Op woensdag 4 januari 2006 10:25 schreef tsjsieb het volgende:
[..]
[..]
Dit laatste komt toch aardig overeen met wat nyny83 hierboven zegt.
O.k., bedankt voor je uitleg, dan begrijp ik er weer iets meer van m.b.t. tot wat de gevaren zijn.quote:Op woensdag 4 januari 2006 10:31 schreef ToMaSZ het volgende:
[..]
Zoals het hier staat: ja. Mooi theoretisch gelul, maar de exploit wordt natuurlijk niet uitgebuit door een wmf direct, met de juiste fileheader/extensie naar de user te sturen. Zoals ik eerder zei: als een kwaadwillende een wmf vermomt als jpeg (niet moeilijk) en het ding wordt in firefox of welke browser dan ook geparset, dan gaat het ook fout.
Latn we nou niet weer vervallen in FF fanboy geneuzel, ik gebruik het ding ook naar volle tevredenheid, maar het is in dit geval ook niet veilig. (Het gaat dan ook niet om een browser-lek, maar een lek in windows an sich)
Inderdaad! Onder Konqueror heb ik er geen last van!quote:Op woensdag 4 januari 2006 09:43 schreef ToMaSZ het volgende:
[..]
Firefox of niet maakt rottig weinig uit met deze exploit.
quote:Op woensdag 4 januari 2006 00:53 schreef johnneman het volgende:
lang leve OpenBSD en Theo de Raadt
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |