Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: WinNetMag

Nadat de eerste trojan die gebruikmaakte van de JPEG-exploit gesignaleerd werd, is de malware nu ook opgedoken op het AIM-netwerk. Kwaadwilligen kiezen hierbij een ge´nfecteerde afbeelding in hun profiel en sturen vervolgens berichten naar andere gebruikers om hen te overhalen dat profiel te bekijken. Zodra deze personen de afbeelding bekijken wordt hun computer echter ge´nfecteerd. Het is voor virusscanners uiterst lastig om kwaadaardige bestanden met deze JPEG-exploit te detecteren.

ComputervirusDe meeste antivirusprogramma's zoeken namelijk enkel naar malware in exe-bestanden. Wanneer men echter zijn virusscanner zo instelt dat hij ook jpg-bestanden controleert, is het probleem nog steeds niet van de baan. Een JPEG-bestand kan namelijk ook een andere extensie meekrijgen, waaronder icon of jpg2. Het opsporen van een virus in bestanden met een van al deze mogelijke extensies zou daarom veel meer processorkracht vereisen dan een gewoon antivirusprogramma, aldus Mikko Hypponen van F-Secure.

Moderatie-faq Wijzig weergave

Reacties (42)

Zou dit ook betekenen dat je dat via de schermafbeelding in MSN Messenger kan doen?
Nee, je MSN avatars worden verstuurd als PNG
En door de extensie van de jpeg naar png te veranderen, kan het slachtoffer wel ge´nfecteerd worden? (Als ik alles goed gelezen en begrepen zou hebben dan kan je de extensie van jpeg naar 11 andere extensies veranderen en nog altijd je slachtoffer infecteren) Correct me if I am wrong :)
ja maar niet bij msn messenger, omdat die de bestanden converteerd naar png alvorens ze te versturen
Nee, de protocol-specificatie vereist dat je de avatars als PNG verstuurt. Natuurlijk kan je als kwaadwillende een client schrijven die JPEG's verstuurt, maar dan moeten andere clients dus deze JPEG laden, wat bij goede software niet zal gebeuren, omdat je de image laadt met de PNG-library (of je gebruikt een algemene lib, dan gaat het waarschijnlijk wel fout, mits natuurlijk de desbetreffende DLL wordt gebruikt om JPEG's te laden)
En wanneer iemand besluit zijn eigen client te schrijven, een andere te gebruiken die dit niet doet of een bestaande open-source client aan te passen..? Dit argument is client-specifiek, en garandeert dus niets..

Verder heb ik eerlijkgezegd geen in-depth kennis van dit onderwerp, maar dit argument is verwerpelijk.

De oplossing voor dit probleem ligt aan de zijde van Microsoft, deze partij moet gewoon een patch uitbrengen voor de desbetreffende library waar de bug in zit. De rest (het verhaal over JPEG's scannen) is pure sensatie. Dan kunnen ze ook meteen op MP3's en desnoods text-files (als we toch non-executable files als gevaarlijk gaan classificeren |:() gaan scannen om Microsoft's bugs voor te zijn.. onbegonnen werk (no pun intended, dan kun je gewoon alles wel gaan scannen, en is het eind zoek).

Edit: overbodig? Some people... :Z
hmmm. wel vreemd hoor... MSN heeft PNG support, maar die van internet explorer is erg matig!
En toch pakte m'n mcafee on-acces scanner dat voorbeeld virus van een paar dagen d'r uit. 'k neem dus ook aan dat de on-access scanner alle bestanden naloopt die windows probeert te openen.

Lijkt me dus geen probleem voor de mensen met on-access scanner, alleen in deze tijd wordt het idee om geen virus scanner te hebben draaien dus veel enger.
Ook Symantec Antivirus houdt de voorbeelden zonder enige moeite tegen. Het is me nog niet gelukt om op een systeem met realtime protection ook maar iets met die bestanden te doen, ze worden al op het niveau van het filesysteem tegengehouden. Het enige wat je er van terugziet is per poging een entry in je virusscanner log.
Een AOL of MSN profiel wordt toch op een server opgeslagen? Dan kan de server toch op deze JPEG-exploit scannen?
Client AV worden zo niet extra belast, toch?
Dat zal op den duur ook gebeuren, denk ik.
Maar vergeet niet dat AOL en/of MSN daar eigenlijk helemaal geen zin in hebben omdat het opeens veeeel meer computertijd gaat kosten.
Een dataserver draaien kost relatief niet veel computertijd.
Dataanalyse wel.
Nou, ik vind dat msn wel de morale verplichting heeft omdit te doen. Zij zijn immers mede verantwoordelijk.
Ik vind dat dus niet, het is de verplichting van de gebruiker zelf om zijn pc up to date te houden en op te letten wat hij download van anderen.
Ze kunnen het wel aanbieden als extra service, maar een verplichting is het absoluut niet, kost veel te veel processorkracht.
Voor niets gaat de zon op, en het zijn commerciele bedrijven. Hotmail doet al aan scannen door hun intergratie van de McAfee virusscanner. Het zou wel mooi in hun "MS doet tegenwoordig ook aan security" marketing campagne vallen.
Waarom zouden op server niveau moeten ingrijpen om een Windows/IE only probleem aan te pakken ?

Jij gaat heel het wegennet aanpassen omdat een bepaald type auto slechte schokdempers heeft gekregen in de fabriek.... rare redenering heb jij ;)
Het is geen IE only probleem!
En dan nog aangezien 95% van de computers windows draait en op 95% van de computers IE gebruikt wordt, kun je dus wel stellen dat de overgrote meerderheid risico loopt (tenzij het systeem gepatched is)
erger. verschillende adobe programma's hebben het ook en als ik me niet vergis heb ik het ook in dreamweaver zien zitten.

dat wil zeggen: ze gebruiken een eigen versie van de bewuste buggy .dll

uiteraard wordt deze niet door M$ gepatched.
Het is geen algemeen probleem met een protocol of een formaat, het is een domme bug in een gdi dll van Windows.

Gaan we daar ff heel de wereld voor mobiliseren ? Om het zoveelste probleem van Windows aan te pakken ?

Djeezes... Het wordt hoog tijd dat MS de rekeningen gepresenteerd krijgt van alle onnodige kosten die veroorzaakt worden door hun bugs...

Edit : ja tuurlijk, weer overbodig. Iedereen lijkt het weer normaal te vinden dat de rest van de wereld zich moet aanpassen om een oplossing of workaround voor een zoveelste Microsoft probleem te vinden.
er wordt toch gezegdt dat het scannen erop heel moeilijk is en erg veel tijd anders kost?

het lijkt me beter als iedereen zich zou updaten ipv tijdrovende scanners te instaleren omdat de klant zich niet gepatched heeft.
is er nou onderhand nog geen fix? dit is een van de meest gevaarlijke veiligheidslekken ooit... waarom zie ik nog geen patches opduiken?
afaik is dit al vanaf day one gepatched... je moet natuurlijk wel updaten dan.
ik zie het er in m'n windowsupdate niet bij staan.

hoe heet deze update dan?
als het goed is,en je heb winupdate gedraait,dan heb je een programma gedaait genaamd GDI+
dit programma checkt of je software heb (van ms) die je moet patchen.

even uit me hoofd

win2ksp4 hoeft niet
winxp sp2 ook niet
winxp wel
winxp sp1 wel

alle office versies wel indien er software mee is geinstalleerd waarmee je jpg kan kijken


http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
de exploit is zelfs pas opgedoken nadat de patch er was, net zoals het blaster-ding
Er is wel een fix, maar de code zit verwerkt in veel Microsoft producten, en third-party producten. Veel programma's leveren immers hun eigen DLL's mee, of compileren de code statisch in het .exe bestand zelf.

De Microsoft GDI scanner weet niet alle fouten te vinden..! bron
die server zou daar indederdaad wel op kunnen scannen, maar net als wat er in de tekst gezegd wordt.. het kost veel processorkracht. En voor servers die iets hosten helemaal.

En de bandbreedte gaat er op achteruit natuurlijk
Hoe gaat de bandbreedte er precies op achteruit?
Ik zie niet hoe er meer of minder data verstuurt wordt.
Dus eigenlijk zoiets van op GoT de de icons bij je naam misbruiken omdat er op mijn afbeelding een virus zit en dus iedereen die mijn bericht in een thread leest dat virus geserveerd krijgt.
Inderdaad, je hoeft op fora alleen maar te kijken wie er na jou gereageerd heeft om zeker te weten wie jouw avatar op zijn scherm gehad heeft. Daar een IP bij vinden en je kunt je gang gaan.

Da's niet zo best.
Helemaal zeker weet je het natuurlijk niet, want iemand kan plaatjes en/of avatars uitgeschakeld hebben. Maar je hebt in de basis wel gelijk :)
Weet iemand of en waar er een locatie is waar je zo'n jpg / exploit kan vinden?
JA, ik zoek het gevaar op ;) maar het gaat bij mij om een gecontroleerde omgeving waar ik dus dat risico kan nemen.
Ach je hebt een groot voordeel; De JPEG moet voor het laden van het plaatje wel een intacte header hebben, anders krijgt het virus natuurlijk geen kans doordat de exploit niet werkt.

Het opsporen van een correcte header in een file is misschien meer werk dan sommige files links laten liggen, maar dit zal voornamelijk weer neerkomen op schijfactiviteit.
Bij het eerdere bericht stonden een heleboel links:
http://www.tweakers.net/nieuws/34454
Hoe zit het met SP2 zijn die mensen veilig? Want ik zie die niet staan in de lijst van affected software van ms.
www.microsoft.com/technet/security/bulletin/MS04-028.mspx

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True