dank der mittlerweile offenen quelltexte von windows2000 ist heute auf der mailingliste full disclosure der erste demoexploit aufgetaucht, der jedem windowsuser den angstschweiß auf die stirn treiben sollte.
ein fehler in einer der systembibliotheken zur behandlung von bitmaps ermöglicht durch einen integer overflow das einspielen und ausführen beliebigen codes auf dem system. dadurch können in zukunft an sich harmlose bmp als virenschleuder oder trojanertransportmedium mißbraucht werden.
es wird wohl jetzt für die mehrheit zeit sich gedanken über internet explorer alternativen und outlook alternativen zu machen, da diese die defekten bibliotheken auch nutzen.
weiterhin wird wohl die nächsten tage der erste wurm auftauchen, der den fehler in der asn1 bibliothek ausnutzt, der erste exploit ist schon aufgetaucht um windowsNT systeme zum absturz zu bringen.
man kann echt spekulieren welche lücken dank des quelltextes als nächstes auftaucht.
Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge
Eigentlich hab ich ja besseres zu tun, aber ich kann mich angesichts soviel Schwachsinn und unreflektierter Verharmlosung einfach nicht zurückhalten.
Wissen die Herren Sysadmins hier eigentlichnoch was sie schreiben? Wenn ihr euren Job genauso relaxt angeht, dann wundert es mich nicht, daß auf unsere Firewalls immer noch Pakete diverser Exploits und Würmer einschlagen.
Die Lücke in der ASN.1 Bibliothek ist gerade auf dem besten Weg der zweite Blaster zu werden, also wohl alles andere als Panikmache, jetzt aber der Hammer, versteht ihr eigentlich, was die gefundene Lücke in win2k/private/inet/mshtml/src/site/download/imgbmp.cxx bedeutet? Anscheinend nicht, deshalb hier eine kurze Erklärung an alle, die bei einer Warnung zu mehr Vorsicht nicht gleich von Panikmache schreien:
In dieser Systembibiliothek, welche sowohl in Windows98/ME, als auch in NT/2000/XP enthalten ist wurde eine wirklich schlampige Lücke entdeckt. Ein Pointeroffset vom Typ int wird ungeprüft mit einem unsigned Wert überschrieben, wodurch ein negativer Pointer entstehen kann und somit der Stack mit eigenem Programmcode gefüttert werden kann. Für alle, die die Originalmeldung in der renomierten Sicherheitsmailingliste interessiert:
http://lists.netsys.com/pipermail/full-disclosure/2004-February/017364.html
Was bedeutet dies nun? Es bedeutet eine neue Ära der Gefahr. Bisher war lokaler Schadcode fast immer davon abhängig in ausführbarer Form vorzuliegen um Schaden anrichten zu können. Seien es EXE-Dateien, COM-Dateien, Bildschirmschoner, PIF-Dateien, etc. Reine Daten wie Bilder, Textdateien, Soundfiles galten bisher als ungefährlich.
Dies ist nun vorbei. Potentiell kann jedes Bild nun Schadcode in ausführbarer Form enthalten, der durch diese Lücke mit Systemrechten ablaufen kann. Ein Umstand, der wohl jedem Viren- und Wurmautor das Leben erleichtert.
Aber warum ALLE Bilddateien? Ganz einfach, die entsprechenden Routinen bearbeiten nicht nur Dateien mit der Endung BMP entsprechend, sondern alle Dateien, die anhand ihrer Headerbits als BMP identifiziert werden können, auch JPEG, GIF, PNG, wodurch ein Filtern sehr erschwert wird. Wenn man sich jetzt anschaut wo überall Grafiken vorkommen und dies mit den Gefahren abwägt und dies als harmlos abtut finde ich das eher blauäugig als besonnen, zumal schon der Beispielexploit in der Mailingliste selbst die Systeme mehrerer Mailinglistenteilnehmer abstürzen lies, ohne daß er speziell ausgeklügelt war. Und die Teilnehmer dieser Mailingliste sind echte Fachleute mit Ahnung der Materie!
PS: Der Umstand, daß jedes andere Betriebssystem auch Lücken hat ist absolut unerheblich, das tröstet nämlich niemanden, dessen System korrumpiert wurde und hält auch nicht die Exploits vom wirken ab.
Ein kopfschüttelnder Xafford