Besmetting mogelijk via mediacontentplayers

Het is nu ook mogelijk om een virus op te lopen als je een MP3 afspeelt met behulp van RealNetwork's RealPlayer of Microsoft's Windows Media Player, volgens dit bericht van BugTraq. Het bericht maakt melding van een geïnfecteerde mp3, waarbij in plaats van muziek, een porno filmpje gaat draaien en een enorm aantal pop-ups worden geopend.

De mogelijkheid wordt geboden doordat je in een .wmf-bestand Javascript en ActiveX-code kan gebruiken. Hierdoor is het mogelijk om in plaats van het eerdergenoemde filmpje een virus of een worm te coderen, waardoor de poppen aan het dansen zijn. Door het .wmf-bestand een andere extentie te geven, ben je niet op je hoede, waardoor je onwetend een kwaadwillig bestand aan downloaden of afspelen bent. Het enige wat je voorlopig kunt doen is om geen Media Player en RealPlayer te gebruiken.

TweakerWannabe maakte melding van dit bericht via de submit. Voor meer informatie kun je ook op Nu en ZDNet klikken.

Lees meer

IT-banen

Reacties (45)

Verwijderd 1 maart 2002 17:20

Het echte nut van het uberhaupt implementeren van Active-X en JavaScript in wmf files ontgaat mij volkomen. Ja, je kan er een paar grappige dingtjes mee doen, maar is het nodig? Volgens mij niet. Typisch een gevalletje van 'he wat leuk, laten we deze gadget funcionaliteit ook toevoegen' en daarmee later met de problemen geconfronteerd worden. Geen wonder dat zo'n mediaplayer tegenwoordig zo groot is. Er zitten gewoon veel overbodige gadgets in.

* 786562 plok

Plux @Verwijderd • 1 maart 2002 18:15

Voor zover ik t begreep kan je in de betreffende mediafiles (wma en wmf) geen gebruik maken van Javascript, alleen van url-verwijzingen en Active-X. Op de webpagina's waarnaar verwezen wordt kan dan wel Javascript gebruikt worden, maar da's toch een klein verschil, en een beveiligingsprobleem op browser-niveau..

djantje @Verwijderd • 1 maart 2002 18:18

Die mediaplayer bestaat nog

Start -> uitvoeren -> mplayer2 <enter>

Verwijderd 1 maart 2002 17:06

De wereld zou mooi zijn als er wat waardeloze figuren minder waren die features misbruiken om zichzelf machtig te voelen, maar helaas. Deze mensen blijven natuurlijk bestaan net als inbrekers.
Beveiligen wil dus niet zeggen dat je dan alle features maar weg moet smijten. Het is als je eigen huis. Het is een feature dat je ramen hebt die ook nog open kunnen, wel fijn dat licht en lekker als je een raam open kunt zetten in de zomer. Scripts uitvoeren kan heel functioneel zijn. Met scripts kun je mail en media net iets meer geven dan de brief en platenspeler. In Outlook is deze feature overigens wel uit te schakelen als je daar geen interesse in hebt. Zoiets zal misschien in Windows Media Player ook moeten komen als we niet in staat zijn een 100% veilig systeem te maken. En dat zal wel niet.
Ook een huis is trouwens niet 100% goed te beveiligen...

RetepV @Verwijderd • 1 maart 2002 17:35

Als tegenwicht voor wat jij zegt:

Een computer is prima te beveiligen, een huis een stuk minder.

Beveiligen doe je door maar één toegang te maken en daar een loyale portier/uitsmijter neer te zetten.

Bij een computer maakt het niet uit of er maar één deur is en geen ramen. Bij een huis wil je toch echt ramen hebben.

Microsoft wil persee ramen in hun Operating System maken. Ik zie het nut van al die ramen niet zo, eigenlijk. Waarom zou ik een ActiveX op een webpagina willen hebben als die ActiveX mijn systeem kapot kan maken? Waarom zou ik VBScript op mijn systeem willen hebben als VBScript oncontroleerbaar is?

Wat is er mis met een virtual machine die los staat van de rest van mijn OS? Misschien dat het traag is, maar Microsoft implementeert zelf een heleboel features waardoor je steeds weer een snellere machine moet kopen.

Microsoft vergeet met zijn oorlogstaktieken dat de klant koning is: dat is precies wat er aan de hand is.

Verwijderd @RetepV • 1 maart 2002 17:37

ehh, de klant is helemaal geen koning, Microsoft is de Koning en wij zijn de onderdanen, en hebben gewoon lekker pech

deadinspace @Verwijderd • 2 maart 2002 16:41

Je hoeft niet achter 'koning' Microsoft aan te huppelen hoor.

raptorix 1 maart 2002 16:52

Vreemd dat dit nu pas naar buiten komt, zolang men vanuit een applicatie een active-x bestand kan aanroepen kan men eigenlijk altijd dit soort shit uit halen, kortom er zijn 2 mogelijkheden:

-Zorgen dat Active-x geen kritieke systeemfuncties kan benaderen vanuit bepaalde applicaties zonder dat de gebruiker hier toestemming voor geeft.
-Dit soort applicaties niet samen laten werken met active-x objecten

Zolang dit niet gebeurt is het dweilen met de kraan open.

Verwijderd @raptorix • 1 maart 2002 17:07

Het is natuurlijk ook gewoon belachelijk dat wmf zo onveilig is. ActiveX van microsoft is het voedsel en de huisvesting van een complete viruskolonie.

Is het niet mogelijk om activeX uit te zetten / te verwijderen?
Of werkt er dan weer eens een heleboel niet?

Het enige wat je voorlopig kunt doen is om geen Media Player en RealPlayer te gebruiken.

Ik heb realplayer onder linux. Nergens last van.

-=bas=- @Verwijderd • 1 maart 2002 18:58

het voedsel en de huisvesting van een complete viruskolonie

*LoL* Hoe kom je op zo'n uitspraak!!

goodfella @-=bas=- • 1 maart 2002 23:21

Hahah LOL, ik vind hem ook keigoed.
Dat zijn een van die uitspraken die je altijd bij zult blijven

SirBlade @Verwijderd • 1 maart 2002 18:37

Had Flash laatst ook niet zoiets?

Het lijkt wel of ze iedere app die scripting ondersteund systematisch aan het nalopen zijn op exploits om ze vervolgens te misbruiken.

eerst outlook, toen flash, nu wmf, straks bash of iets anders...ik word er zolangzamerhand een beetje kotsmisselijk van.

Vinz 1 maart 2002 23:57

het lullige is...kon ik dat niet 5 uur eerder lezen...nu heb ik hem...kutzooi! Een voordeel is dat die niet echt subtiel is.

WiD 1 maart 2002 16:51

Is dit ook al een probleem met de ouwe mediaplayer 6.4 of alleen een probleem van latere versies?

TheDataDude @WiD • 1 maart 2002 16:58

Bij alle versies die wmf bestanden ondersteunen is dit mogelijk

kareltje21 @WiD • 2 maart 2002 13:08

Als het goed is zal dit spoedig niet meer gelden. Meneer Gates riep een paar weken geleden dat ze een hele maand alleen maar aan security gingen werken.

Dus dan kunnen ze dit mooi meenemen!

Of ... Zullen ze dit bij Microsoft niet zijn als een probleem? (user moet maar beter opletten)
Zeggen met security bezig te zijn, maar dan wat zij hier onder verstaan?

x-wolf 1 maart 2002 18:33

Maar wie draait dan ook mp3 bestanden in mediaplayer of realplayer???? Daarvoor gebruik je toch winamp.
En zelf gebruik en download ik nooit wmp bestanden. Heb daar eigenlijk iets tegen door het 'Microsoft geurtje' dat daaraan hangt. Ook kan ik het niet afspelen onder Redhat

Het lijkt me als ik eerder ben dan ook echt een manier van besmet raken voor noobs, en minder voor enigszins ervaren gebruikers.

pablo_p @x-wolf • 1 maart 2002 19:33

Windows bepaalt aan de hand van de extensie van een bestand, met welk programma het het bestand opent. Als de het betreffende programma het 'formaat' van het bestand aankan, wordt dat bestand geopend met dat programma, anders krijg je een foutmelding.

Voorbeeld: rename een *.mp3 maar naar een *.asf. Dan kan je gewoon dubbelclicken op de *.asf, die wordt door mediaplayer geopend, die de header van de file leest en constateert dat het een mp3'tje is en die vervolgens afspeelt. Je kan dus een hoop dingen 'verstoppen' onder andere extensies die ook door een 'bruikbaar' programma herkend worden.

DannyXP1600 @pablo_p • 2 maart 2002 11:10

en dat zou eens moeten veranderen. Wanneer het *.avi is dan moet hij eerst controleren in de header of het wel een avi is en dan ben je al een stuk verder in de beveiliging. Zou Microsoft contracten hebben met producenten van antivirus software en dat soort dingen? Dan maken ze per ongeluk expres allerlei veiligheidslekken in hun OS en software die erbij zit, kan maar hopen dat er mensen achter komen, dan kunnen andere mensen (die vantevoren er vanaf wisten...) het lek gaan dichten, verdienen hun wat aan, deel gaat naar Microsoft en zo verdient Microsoft nog meer dan nodig...

blaatenator @x-wolf • 1 maart 2002 19:16

Wat dacht je van hernoemen naar de extensie .avi. Heb je net de recentste DivX-filmpies gedownload, blijkt er toch een aparte plotwending in voor te komen, alleen niet qua verhaal

Bij realPlayer kun je het openen van links iig uitschakelen. Bij de mediaPlayer is dat wat lastiger.

Verwijderd @x-wolf • 1 maart 2002 20:48

Maar wie draait dan ook mp3 bestanden in mediaplayer of realplayer???? Daarvoor gebruik je toch winamp.

Niet iedereen gebruikt dezelfde software

Zo geef ik bijvoorbeeld de voorkeur aan Sonique. En een ander weer KJofol, of STP, of Coolplayer, of Mediaplayer, etc, etc, etc...
Het is maar net wat je gewend bent.

lacobo @x-wolf • 1 maart 2002 19:03

Maar wie draait dan ook mp3 bestanden in mediaplayer of realplayer???? Ik!!! (in Mediaplayer dat is). Mplayer 7 is inderdaad nogal crappy, maar Mplayer 8 mag er weer zijn. Snel als het licht en grafisch ook niet onaardig.

Even on topic: Waarom wordt er over MP3's gesproken als er 2 tellen later de term WMF valt? Kunnen in MP3tjes dan ook pikante filmpjes gestopt worden? Dacht 't toch niet. Kortom MP3tjes kun je gewoon in de Mplayer blijven spelen

flipjevandejam 1 maart 2002 17:03

Het enige wat je voorlopig kunt doen is om geen Media Player en RealPlayer te gebruiken.

Deed ik toch al niet, en ik moet zeggen dat ik weinig mensen ken die dat wel doen voor mp3's
meestal gebruikt men namelijk of winamp of de ingebakken mp3 speler van napster/kazaa-varianten

Als dit ook bij films zo blijkt te zijn ben je wel sneller de sjaak aangezien heel veel mensen daar juist wel Mediaplayer en af en toe Realplayer voor gebruiken.

Maar ze zullen inderdaad vast wel met een update komen ofzo

Wolfensteijn @flipjevandejam • 1 maart 2002 18:05

Die ingebouwde speler is volgens mij gewoon een aanroep van de windows mediaplayer.

Als ik zo'n share progje zou bouwen zou ik er niet de moeite voor nemen om zelf een mediaplayer te programeren als ik die van Windows zelf makkelijk kon gebruiken, dus dan heb je hetzelfde probleem.

Jordi 1 maart 2002 19:14

De manier waarop dit nieuws gepresenteerd wordt, is een beetje... 'dubieus'. Weliswaar klopt het dat de file een .mp3 extensie heeft, maar dat is puur een rename actie. Dat zet je overigens in de 2e alinea netjes recht, maar als je ergens glashard neerzet (of je dat nu later terugneemt of niet):

Het bericht maakt melding van een geïnfecteerde mp3

Gaan mensen denken dat ook mp3 files (mp3 FORMAAT dus, extensie is niet relevant) infecteerbaar zijn en dat in discussies gebruiken 'jawel mp3 kan wel geinfecteerd raken, dat stond laatst nog op tweakers'.

waarbij in plaats van muziek, een porno filmpje gaat draaien en een enorm aantal pop-ups worden geopend.

Misschien gaan ze nu zelfs denken dat mp3's een of ander universeel formaat is waar zelfs video in kan zitten... en zelfs als ik hier een aantal reacties lees, denk ik: oh jee... nieuws wordt _weer_ verkeerd geinterpreteerd door een hoop mensen.

Je hebt gelijk als je zegt dat een echte .mp3 file er voor de gewone gebruiker net zo uitziet als een .wma/wmf/weetikwat file met de extensie .mp3
Je hebt gelijk als je zegt dat je van mensen verwacht dat ze het hele artikel (en dus ook de 'verklaring') lezen.
Het probleem is alleen dat een hoop mensen op den duur de verklaring vergeten en alleen maar onthouden 'zelfs mp3 is niet meer veilig'. Zo maak je de 'domme' mens nog dommer dan ie al is. 'Dom' overigens in de context van 'gewone gebruiker', niet negatief bedoeld.

Verwijderd @Jordi • 1 maart 2002 20:34

Waarom de virusscanners straks gretig in zullen springen

Het is zelfs zo dat een simpel textbestand een virus kan bevatten, of een JPG bestand.

Op GoT is er wel iemand met in de sig iets van 'je bent gehackt', klik je daarop krijg je http://bla.com/plaatje.jpg te zien, maar dit plaatje.jpg is gewoon een of andere html file ofzo. Zelfde geld voor .TXT bestanden, dit wordt gewoon als een html/script geinterpreteerd door Internet Explorer.

Als je van dat laatste een voorbeeld wilt, kan je ik je wel een link geven... maar dan wordt deze post zeker weten aangepast door een moderator, dus dat laat ik maar achterwege

Blasterxp @Verwijderd • 1 maart 2002 22:58

Hé, die site werk helemaal nie !!

Thunder @Verwijderd • 1 maart 2002 23:16

Die plaat.jpg is gewoon een .html met <iframe src="C:\"></iframe> niks geen virus.
Dit is heel simpel te doen door wat te veranderen in je config van bv. Apache.
Zo heeft Fok! ook bij alles .fok ipv .php.

Verwijderd 1 maart 2002 22:25

Ach ja, en binnenkort is zelfs het openen van een tekstbestand dodelijk voor je computer... Waar gaat dit eindigen...

10011 @Verwijderd • 1 maart 2002 22:47

simpel in een wereld waar je bij elke stap moet denken of gewoon op de bonnefooi moet rond lopen net als in het echt

in het echt heb je ook nie al je spaargeld op zak zo meot je ook op internet "lopen"

kortom 2e pc voro internet

Robino 1 maart 2002 16:54

Door het .wmf-bestand een andere extentie te geven, ben je niet op je hoede, waardoor je onwetend een kwaadwillig bestand aan downloaden of afspelen bent.

Had laatst ook iemand. Die had een mp3 gedownload via Kazaa. Hij wil het afspelen en dan vraagt het opeens of het een bericht mag verzenden (

) en toen zij hij dus ja (

ach ja

). Waarschijnlijk was dit ook zoiets.

Het enige wat je voorlopig kunt doen is om geen Media Player en RealPlayer te gebruiken.

Maar ze zullen vast en zeker wel met een oplossing (lees:update) komen. Lijkt me logisch

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: