SANS roept op onofficiële patch te installeren

Het SANS Institute's Internet Storm Center (ISC) wijst Windows-gebruikers er dringend op een onofficiële patch te installeren om op die manier het WMF-lek snel te dichten. Het is onverstandig af te wachten tot Microsoft in actie komt, aldus SANS. De aanbeveling volgt op een nieuwe golf van aanvallen die misbruik maken van de manier waarop Windows metadatabestanden implementeert. Afgelopen zaterdag werd de exploitcode voor dit lek op internet gepubliceerd, wat de zaak bepaald geen goed heeft gedaan. Inmiddels zijn er al diverse virussen ontdekt, waaronder HappyNewYear.jpg dat via e-mail verstuurd wordt en dat door Windows als WMF-bestand herkend en uitgevoerd wordt om vervolgens Backdoor.Bifrose te downloaden.

Computer / Hacker / Virus (cartoon/illustratie) HappyNewYear.jpg is niet alleen schadelijk als het wordt aangeklikt, maar wordt ook in werking gebracht als de map, waarin het bestand zit, wordt geopend. Of als het wordt geïndexeerd door een zoekprogramma als Google Desktop. Ilfak Guilfanov, volgens F-Secure een van de beste "low-level" Windows experts in de wereld, heeft een patch geschreven die door het SANS is getest. Het lek blijkt overigens in alle Windows-versies sinds Windows 3.0 aanwezig en treft dus niet alleen gebruikers van Windows XP en Windows Server 2003 zoals in een eerder stadium gemeld werd. Het WMF-lek wordt al het grootste lek in de computergeschiedenis genoemd.

Lees meer

Reacties (119)

+3God of Death
2 januari 2006 21:38

Hij staat ook in het andere topic over het lek, maar hier is de link naar de site met de patch nogmaals:

http://www.hexblog.com/2005/12/wmf_vuln.html

@EnsconcE: Bij mij werkt de link prima... Alleen is hij wel een beetje traag.

De link om de patch direct van hexblog te downloaden is hier:
http://www.hexblog.com/security/files/wmffix_hexblog13.exe

EnsconcE
@God of Death • 2 januari 2006 21:46

Je link loopt dood:
http://handlers.sans.org/tliston/wmffix_hexblog13.exe
Hiermee download je direct de patch.

dr snuggles
@God of Death • 2 januari 2006 22:29

Werkt de patch ook op XP NL

Dryw.Filtiarn
@dr snuggles • 2 januari 2006 23:18

Deze patch is voor iedere taal geschikt.

Edit: Tiepvaut

Pascal

@God of Death • 3 januari 2006 11:18

alweer versie 14

http://www.hexblog.com/security/files/wmffix_hexblog14.exe

TD-er

@Pascal • 3 januari 2006 12:33

Mischien handig om erbij te vermelden dat het verschil tussen versie 13 en 14 niet in de beveiliging zit, maar met name in de mogelijkheid om exitcodes en parameters te gebruiken zodat je het programma ook door een bat-file kunt laten runnen en testen.

Dus wanneer je versie 13 al had geinstalleerd, hoef je versie 14 niet ook nog eens eroverheen te halen.
Die arme man zal waarschijnlijk al een flinke rekening krijgen voor zijn verstookte bandbreedte, dus niet nodig hem extra op kosten te jagen.

Mischien een idee om 'm op de tweakers-servers te hosten?

+3arjankoole

Software

2 januari 2006 21:39

sinds windows 3.0??

wauw, zo zie je maar dat sommige dingen niet alleen lang verstopt blijven voor Microsoft, maar ook voor virusschrijvers. (en de combinatie van die twee kun je met recht uniek noemen).

edit:
@TeleMax:
ik doelde er ook meer op dat het opvallend is dat een dergelijk grote bug onopgemerkt is gebleven door beide partijen aangezien de bug zelf dus ook al 16 jaar oud is inmiddels. Ik doelde er geen moment op dat Microsoft de bug in 3.0 ook zou moeten fixen.

EnsconcE
@arjankoole • 2 januari 2006 21:54

Dat die combinatie uniek is, is niet geheel waar. Software maken is zo ingewikkeld dat er bugs insluipen, hoe gemakkelijk het programma ook is. Op dit moment zijn er waarschijnlijk nog 10tallen gaten die door niemand gevonden zijn. Wat wel met oprecht uniek is, is dat het lek de grootste in de geschiedenis is, maar dat hoe ik je niet te vertellen.

@n4m3l355
Nergens in het bovenstaande staat

met andere woorden als 't werkt hoeven we er ook niet meer naar te kijken

Natuurlijk moet dat wel, maar zelfs als je er naar kijkt zie je wel eens wat over het hoofd.

Over dat van scratch beginnen, microsoft doet dat enigsinds. Ze bouwen dan wel niet in een keer een nieuw besturingssysteem maar doen dat in stappen. En als ze vertandig zijn doen ze dat met hergebruik van code, dat is wat je als programmeur uitgelegd wordt. Iedere ingenieur hergebruikt zijn instrumenten/gereedschappen.

Hier heb je overigens een leuk voorbeeld:
nieuws: Microsoft speelt met C#-gebaseerde kernel 'Singularity'

+3n4m3l355
@EnsconcE • 3 januari 2006 00:31

met andere woorden als 't werkt hoeven we er ook niet meer naar te kijken. voor mij is het eerder het omgekeerde en toont dit alleen maar aan dat windows een uitbouwsel van het oorproduct is win3/winnt3.x en dat juist door nooit eens de complete code (ja het is belachelijk veel) ooit eens te reviseren. misschien dat windows veel veiliger en op z'n minst effecienter zou zijn als ze daadwerkelijk van scratch zouden beginnen. dan zouden ze eens hard kunnen maken dat ze voor veiligheid gaan maar nu moeten ze nog gaten fixen die 16 jaar oud zijn.
&@remus jou reden 'geen bug maar een feature' is wel uiterst belachelijk excuus om het mogelijk te maken.

GambitRS
@n4m3l355 • 3 januari 2006 06:39

Van scratch beginnen is iets wat geen enkele serieuze software ontwikkelaar zal doen. Dan zijn ze namelijk het wiel nog een keer aan het uitvinden. Je moet eens weten hoeveel meer werk het kost om alles opnieuw te schrijven dan om bestaande modules nog een keer te gebruiken. De ontwikkeling duurt, met al het hergebruik, nu al jaaaren voordat er een nieuwe versie af is. Ik denk niet dat het zo slim is om de volgende pas over 10 jaar uit te brengen omdat alles perse zonodig herschreven moet worden omdat je vermoedt dat 10% van de code niet goed is. En zelfs al herschrijf je alles dan nog heb je meer kans dat je NOG MEER bugs hebt gecreeerd dan hebt verwijderd.

+1Remus
@n4m3l355 • 3 januari 2006 12:13

Toen dit eind jaren 80 werd gemaakt hadden ze nog geen idee dat alle computers aan het Internet zouden komen te hangen en dat daardoor deze eigenschap misbruikt kan worden. Ik kan me zo voorstellen dat het is bedoelt om interactieve content te kunnen maken en dat het idee was dat dit bewust door een gebruiker werd opgestart.
Ik noem het dus bewust geen bug, dat is het namelijk ook niet, het is een eigenschap van het besturingssysteem dat helaas erg makkelijk te misbruiken valt in deze volledig internet-connected wereld. Het is dus eerder een feature die tot lek (bug zo jij wilt) is verworden.

Is het stom dat code uit 1989 nog steeds in Windows te vinden is: misschien wel ja, het probleem is voornamelijk dat als een softwareonderdeel nooit problemen heeft veroorzaakt, je ook minder bedacht bent op dat onderdeel (het aloude adagium: if it ain't broken, don't fix it) en er dus minder snel iets aan zult (willen) wijzigen.

+1Pietje Puk
@EnsconcE • 3 januari 2006 01:35

Er is altijd een lek het grootste in de geschiedenis. Niet geheel toevallig is het een lek in een bestandsformaat wat goed ondersteund wordt door het bekendste OS.

+2Remus
@arjankoole • 2 januari 2006 22:46

Het blijkt dan ook geen bug te zijn, maar een eigenschap die bewust in Windows 3.0 is aangebracht maar die dus nu behoorlijk makkelijk te misbruiken blijkt te zijn.

0TeleMax
@arjankoole • 2 januari 2006 21:42

Windows 3.0 zag op 22 mei 1990 het levenslicht. http://en.wikipedia.org/wiki/Windows_3.0 Het is dus al een tijdje op de markt. Ik geloof dat Microsoft het tegenwoordig als "end of life" beschouwd en er geen support meer op geeft. (Sinds 31 December 2001)

+2Metal Baron
2 januari 2006 21:37

Ben wel benieuwd wanneer de originele patch gaat verschijnen dan? Als dit lek echt zo erg is al beweerd wordt, neem ik aan dat het dichten ervan top priority is bij MS, en als meneer Guilfanov binnen een paar dagen een patch heeft, moet dat MS toch ook wel lukken?

+3Milt
@Metal Baron • 3 januari 2006 09:50

De patch behelst niet meer dan het uitschakelen van de DLL waarin de misbruikte Escape() functie is geimplementeerd, met als gevolg dat er dus veel meer functionaliteit niet meer werkt. Goede noodoplossing natuurlijk, maar zal voor Microsoft niet echt een oplossing zijn. Bovendien test SANS de patch waarschijnlijk alleen maar op de Engelse versie van Windows XP en misschien Windows 2003 Server. Microsoft moet uiteraard een patch uitbrengen die op 20+ talen werkt en voor 10+ versies van Windows.

woekele
@Milt • 3 januari 2006 16:12

Dat is niet waar. De patch schakelt geen DLL uit, lees de pagina nog maar eens goed door. Overigens zijn er wel mensen die weten wat de fix precies doet. Dit kun je door reverse engineering nagaan. En inmiddels hebben zoveel mensen dit geinstalleerd dat het wel duidelijk is dat het op meer talen en versies gewoon werkt.

+3Carda
@Milt • 3 januari 2006 16:16

Als het een dll betreft lijkt het me niet dat die in elke taal anders is. Anders kunnen ze meteen de programmeurs bij MS ontslaan

Het duurt gewoon lang door bureacratie. Het nieuws sijpelt het bedrijf in. Het duurt een week voordat degene die er over gaat een beslissing neemt. Dan moet elke stap weer gecommuniceerd worden etc etc..

En dan ben je bij een bedrijf met de grootte van MS een half jaar verder omdat iedereen bang is om op z'n gat te gaan.

0omixium
@Metal Baron • 2 januari 2006 22:31

door die patch zouden heel wat programma's niet meer kunnen werken.
De vraag is dus, wat is erger.. patchen of laten exploiten.
Maar ik denk dat de discussie nu zover is, dat er binnen een week een patch klaar is.

Dryw.Filtiarn
@omixium • 2 januari 2006 23:54

De patch die hier vermeld wordt heeft geen invloed op de werking van welk programma ook. Het is alleen een vervanging van de betreffende functie(s) binnen de GDI32.dll die deze exploit mogelijk maken.

+3ToMaSZ
@Dryw.Filtiarn • 3 januari 2006 08:41

Hier moet je niet te snel van overtuigd zijn. We hebben hier nu op onze ict-implementatieafdeling (Man of 60) deze patch in gebruik. De rest van de toko krijgt hem nog even niet, omdat er niets is getest en we geen 6000 users met daaronder een groot aantal bedrijfskritische werkplekken gaan uitrusten met een patch waarvan niemand weet wat de mogelijke gevolgen zijn voor het functioneren van alle applicaties die in huis zijn.
Daaronder zijn ook applicaties die net zo oud zijn als dit lek. De functionaliteit die nu lek is, is ooit niet voor niets in windows ingebracht.

Verder blokkeert McAfee hier keurig de toegang tot met een exploit besmette test-files.

0dmantione

Software

@Metal Baron • 2 januari 2006 21:43

M$ is wat logger waardoor een eventuele patch eerst door allerlei testprocedures moet voordat hij beschikbaar gesteld wordt. Misschien terecht, want de gevolgen van een verkeerde patch zijn voor M$ wat groter dan een willekeurige hacker, en misschien ook niet, want tegen dat de patch er is, is de halve wereld besmet.

player-x
@dmantione • 3 januari 2006 10:57

@dmantione
Als je hier op tweakers MS met M$ schrijft dan word je meteen als flammer bestempeld.
want je mag niks verkeerd zeggen over onze aller heiligste microsoft

was trouwens niet altijd zo een paar oude berichtjes uit de begin tijd van T.net
nieuws: Project Mozilla dood?
nieuws: MS Sidewinder FF Wheel review
ps. volgens mij waren deze berichtjes door femme geplaatst en stont dat er ook

EN JA, zet mij maar ook op Flamebait
Hoewel ik tegenwoordig neutraal over MS denk, was dat niet altijd zo ik denk dat ze goede en minder goede dingen doen, en ben ik nog steeds van mening dat hoewel het een heel stuk verbetert is ze zo af en toe nog steeds het titeltje M$ verdienen al is het gewoon om ze scherp te houden.
Gelukkig zijn ze niet meer het evil empire wat ze ooit waren en maar deden wat ze wilden omdat ze of groot genoeg waren of genoeg geld hadden om iedereen hun wil op te leggen
Maar ze hebben nog steeds hun streken maar denk dat inherent aan elk groot bedrijf is of dit nu Shell Sony of MS is.

@Saus
Ben het met je eens dat er soms best wel pass op de plaats mag worden gemaakt maar de MS fan boys hier hebben soms wel hier hele lange tenen.
In 9 uur tijd heb ik toch all 3 x een troll aan mijn broek hangen en wees eerlijk, ik geloof niet dat mijn post zo lomp is dat het een troll waard is.
(kan het verkeerd hebben maar schijf dat dan op waar om ik een troll heb geschreven ik ben benieuwd)
Ik heb een mening over MS en die is gedeeltelijk positief maar ook op sommige punten negatief en als je dat niet meer mag zijn goh dan moeten we maar vragen of Bush hier in NL de volgende president moet worden, want dan hoor we ook maar in 2 kampen je bent met ons of tegen ons!
Nou ik ben met niemand, en maak mijn eigen mening over dingen, want niet alles is zwart of wit er is ook nog een hoop grijs in de wereld.

EN wat mij opvalt aan een hoop moderaties hier, dat een hoop mensen moderatie gebruiken om hun mening te verkondigen, in plaats van het moeite te nemen om zelf met een goed tegen argument te komen.
Of het nu om Intel <> AMD, ATI <>nVidia, MS <> Linux, er word elke keer maar naar de moderatie middel gegrepen om hun gelijk te krijgen, in plaats van zelf in de pen te kruipen en met goede argumenten te komen.
Nederland was ooit een land waar mensen tegen elkaar praatte en naar elkaar luisterden en probeerde de andere te overtuigen, geloof dat tegenwoordig alleen maar tegen elkaar word gepraat en gedacht wat heb jij zie jij dat toch fout, zie je niet dat ik het veel beter begrijp (goh wat ben jij dom zeg).

Player-x ziet het somber in voor de wereld, iedereen probeerd ieder een van hun gelijk te overtuigen en niemand luister meer naar wat een ander zegt of dit nu om geloof, computers, politiek of de buurman gaat, iedereen heeft ongelijk als hij niet hetzelfde denkt als "ik".

+1Saus
@player-x • 3 januari 2006 15:18

want je mag niks verkeerd zeggen over onze aller heiligste microsoft

Tuurlijk wel, het is alleen de manier waarop waarom het zovaak als storend wordt gezien.

Als ik hier zou verkondigen dat het wat langer duurt omdat het door verschillende procedures heen moet weet ik zeker dat ik een positieve reactie krijg. Als je al opent met M$ zet je natuurlijk kwaad bloed (och daar heb je weer zo iemand). Zolang je je bericht net opsteld met enkele argumenten die zonder flames en trolls kunnen worden beantwoord is er niets aan de hand.

Jou reactie is wat dat betreft precies hetzelfde met "onze allerheiligste" en daarom ga je denk ik naar beneden. En om nu berichten uit 99 erbij te halen is niet geheel relevant.

Ma.rkus.nl
@Metal Baron • 2 januari 2006 21:44

Nou ík ga er niet op zitten wachten, en vele anderen óók niet hoop ik.

0AugmentoR
@Metal Baron • 3 januari 2006 21:44

Volgens de website van Microsoft wordt ie 10 januari getest en al beschikbaar gesteld (als onderdeel van 't standaard maandelijkse ducktape-pakket).

15 Dagen... dat is toch wel vrij snel voor Microsoft

+3markloman
2 januari 2006 22:14

FYI, sinds vanavond installeert Hitman Pro bij haar gebruikers automatisch de hotfix van Ilfak Guilfanov.

Smurfensoep
2 januari 2006 22:18

Als je Data Execution Prevention (DEP) aanzet op alle bestanden, ben je veilig tegen dit nieuwe virus. Werd al vanaf de eerste ontdekking van het virus aangeraden, dus ik ben verbaasd over de paniek en het wegvallen van dit meest waardevolle advies (MS flamen is blijkbaar hipper onder de security guru's). Ik heb het net geprobeerd op de testsite en DEP hield de werking van het testbestand tegen. Toen ik DEP instelde op alleen windows bestanden, werd tot mijn teleurstelling het testbestand niet tegenhouden door mijn uptodate Norton Antivirus 2006 en ook niet door DEP.

Start--> Control Panel --> System --> Avanced --> Performance --> Data Execution Prevention --> Turn on DEP for all programs and services

Jeronim0
@Smurfensoep • 2 januari 2006 22:23

Graag een link naar het test-bestand. Ik wil graag een proof-of-concept om te zien in hoeverre ik hier bloot aan sta. Ik ben me terdege ervan bewust, dat de bug in iedere Windows versie zit, maar dan nog zijn er manieren om je er tegen te wapenen (buiten de reeds wijdverspreidde tips van registry "hacks" en de-registreren van een dll).

Ik heb er zelf al 1 gevonden.

De site is van een Kaspersky-user. Ook al staat er harmless, wees toch voorzichtig! De site kan aantrekkelijk zijn voor hackers die de ongevaarlijke tests vervangen door hun eigen destructieve varianten!:
http://kyeu.info/WMF/

Dryw.Filtiarn
@Jeronim0 • 2 januari 2006 23:42

Interessante link

McAfee kan een deel prima herkennen hier, echter de inlines worden pas gedetecteerd NADAT ze inline getoont zijn, dit geldt ook voor de .gif en .jpg files, deze worden ook eerst getoond en daarna pas gedetecteerd.

Smurfensoep
@Jeronim0 • 3 januari 2006 08:36

http://www.hexblog.com/20...ability_checker.html#more

+2129753
@Smurfensoep • 2 januari 2006 22:26

heeft dit negatieve effecten op de performance?

+2register
@129753 • 2 januari 2006 23:46

Normaal niet, omdat de memory management unit van de CPU het hardwarematig ondersteunt. De translation lookaside buffer is een bit breder, zeg maar.

Trouwens, zelfs al zou het een klein beetje performance kosten, dan nog is het zeker de moeite waard! Toch als je je systeem ooit rechtstreeks of onrechtstreeks aan het Internet wil koppelen.

+2bOR_
@Smurfensoep • 2 januari 2006 23:03

Volgens mij werkte alleen de volle DEP (dus in combinatie met een processor die een differentiatie kan maken tussen code / data segmenten van het geheugen (athlon 64, en nog eentje) om te beschermen tegen de hack.

Dryw.Filtiarn
@bOR_ • 2 januari 2006 23:37

Dat klopt, Microsoft heeft het ook in haar Security Advisory staan dat alleen HARDWARE DEP in staat is om dit probleem te stoppen. Software DEP heeft totaal geen nut in dit geval.

Wat je zegt over de Athlon 64'ers klopt idd, datzelfde geldt voor de Opterons, volgens mij geldt dit ook voor de Semprons en laptop 64bit cpu's van AMD. De Intel Pentium Extreme Editions en Itaniums ondersteunen ook DEP.

0Freakertje
@Smurfensoep • 3 januari 2006 11:15

DEP kan profiteren van software- en hardwareondersteuning. Als u DEP wilt gebruiken, moet Microsoft Windows XP Service Pack 2 (SP2) of hoger, of Windows Server 2003 Service Pack 1 of hoger op uw computer worden uitgevoerd. DEP-software helpt uw computer beschermen tegen bepaalde soorten aanvallen op basis van schadelijke programmacode. Als u ten volle wilt profiteren van de bescherming die DEP kan bieden, moet uw processor "uitvoeringsbeveiliging" ondersteunen. Deze technologie, die gebaseerd is op hardware, maakt het mogelijk geheugenlocaties aan te merken als niet-uitvoerbaar. Als uw processor geen ondersteuning biedt voor DEP op basis van hardware, doet u er goed aan te upgraden naar een processor die wel over voorzieningen voor uitvoeringsbeveiliging beschikt.

FYI...

Vertrouw er dus maar niet teveel op....

-= spuit11² =-

TheCapK
@Freakertje • 3 januari 2006 19:41

Als er dus een exploit is die alleen hardwarematig goed kan worden bestreden dan is er ergens wel heel erg brak geprogrammeerd. Ik neem tenminste aan dat MS mij niet de kosten van de upgrade naar een geschikte processor vergoed! (Samen met de miljoenen andere gebruikers die met ditzelfde probleem zitten.) Dit zou mij niet alleen een CPU maar ook een Mobo en aanverwante artikelen kosten! En dat 2 maal! Leuk geintje zoiets! Iemand nog een linux overstap????

+1de Rochebrune
@Smurfensoep • 2 januari 2006 23:20

@ConstantMak
niet waar

Software DEP beschermd je totaal niet.
Hardware DEP voor alle programmas and processen beschermd je slechts ten dele. Er zijn gevallen bekend waarbij dit ook niet helpt.

Ga nou svp niet allemaal dingen roepen zonder zorgvuldig onderzoek te hebben gedaan. Dat geeft alleen maar meer ellende door een vals gevoel van veiligheid.

woekele
@Smurfensoep • 3 januari 2006 16:19

Alleen hardwarematige DEP beschermt zoals al paar keer gezegd. Maar nog belangrijker: Ook hardwarematige DEP helpt niet als je een mailicous bestand opent in een pictureviewer zoals Irfanview of iets anders. Zo veilig is een normale gebruiker hierdoor dus niet. Virusmakers kunnen heus wel trucjes verzinnen om om die DEP heen te komen.

+2Compunologist
2 januari 2006 21:44

Ook bij grc kun je 'm vinden. En bij Microsoft vind ik voorlopig alleen dit. Toch wel opvallend dat er nu van verschillende kanten opgeroepen wordt om een niet-Microsoft patch te installeren.
Maar Ilfak Guilfanov ziet zijn oplossing ook als een tijdelijk lapmiddel:

I recommend you to uninstall this fix and use the official patch from Microsoft as soon as it is available

(bron)

+3kodak
@Compunologist • 2 januari 2006 22:30

Het is opvallender dat Microsoft nog steeds blijft beweren dat het slechts een mogelijk gevaar is en niet echt zeer gevaarlijk is.
Dat geeft in combinatie met hun eerdere houdingen bij beveiligingslekken zo weinig vertrouwen in hun dienstverlening en intenties dat er nu noodzakelijk naar niet-officiele waarschuwingen en patches gedaan moet worden. Het is inmiddels helaas al erg laks als je wel alleen op MS gaat zitten wachten.

mashell

@Compunologist • 2 januari 2006 22:10

Inderdaad. Een niet officiele patch instaleren aangeraden door een voor mij volkomen onbekend instituut... Een instituut met een naam die ik associeer met een ziekte (of hype) van een paar jaar terug en een website die er uit ziet alsof ie speciaal met dit doel uit de standaard frontpage voorbeelden is komen rollen. Misschien is het middel wel erger dan de kwaal...

+2EdRandom
@mashell • 3 januari 2006 00:34

Nou ja zeg - SANS is een toonaangevend instituut. Dat jij ze toevallig niet kent, zegt niet zoveel over de kwaliteiten van SANS ;-)

Gxis!
Ed.

three2five
2 januari 2006 23:20

Ik heb een paar vraagjes maar ga echt niet op google hiernaar zoeken aangezien ik wel een zekere angst heb dat mijn systeem geinfecteerd word.

Wanneer ik in google images zoek naar HappyNewYear.jpg en google laat dan de thumbnails zien, zijn die bestanden dan ook geinfecteerd? En de daarop volgende vraag:
Paketten die op linux draaien en dergelijke bestanden bijvoorbeeld resizen, blijft dan het virus intact zodat het virus in windows nog steeds 'gebruikt' kan worden?

Is dit HappyNewYear.jpg ook daadwerkelijk een plaatje en daarnaast een virus?

Dryw.Filtiarn
@three2five • 2 januari 2006 23:45

Puur theoretisch gezien zou het mogelijk zijn dat dat zou gebeuren. Wanneer je gebruik maakt van Internet Explorer kan het zijn dat een naar JPG hernoemde WMF file (met deze exploit erin) automatisch geparsed wordt in een poging deze weer te geven.

Het is inmiddels bekend dat het wijzigen van de WMF extensie in de extensie van andere bestandsformaten geen invloed heeft voor de werking van deze exploit. Een naar JPG of GIF hernoemde WMF wordt door de "juiste" routine voor de WMF afbeeldingen verwerkt.

0de Rochebrune
@three2five • 3 januari 2006 00:10

Google image laat alleen jpgs en gifs zien. En is dus veilig.

Maar ik zou toch de patch installeren.

overbodig?
er wordt iets gevraagd, ik geef antwoord.

kimborntobewild
@de Rochebrune • 3 januari 2006 09:00

JPG is alleen de extensie. Windows kijkt intern wat voor bestand 't is. Blijkt 't een WMFje te zijn, dan hang je als 't 't betreffende exploit-plaatje is.
Dus JPG's zijn iig niet veilig omdat 't op JPG eindigt!!!

three2five
@kimborntobewild • 3 januari 2006 14:25

Je snapt denk ik niet helemaal walter en mijn punt, wij begrijpen denk ik beide dat de extensie niet boeit. Waar ik het over heb is het volgende, een wmf bestand renamed naar jpg, word dit door google gebruikt? En hoe gaat een niet windows pakket met een wmfje gerenamed naar jpg om? Wat als je zo'n bestand resized in windows, blijft het virus intact, als het uberhaupt al wel een plaatje is?

three2five
@de Rochebrune • 3 januari 2006 00:23

Weet je zeker dat google alleen jpg bestanden leest of leest die ook wmf bestanden waarvan de extensie simpelweg is verandert? Het eerste lijkt me trouwens het meest logisch, maar je weet maar nooit. En dan zijn een aantal van mijn vragen nog steeds niet beantwoord.

Uiteraard had ik binnen 10 seconden direct de patch al geinstalleerd maar ik wil het wel weten.

pietje63
2 januari 2006 23:10

Let op: Voor deze patch is het voor de werking ECHT noodzakelijk om de pc te herstarten. (dit is voor mij dan ook de eerste reboot in tijden geweest).

Ik vraag me af of dit soort dingen in de toekomst meer gaan komen: patches voor windows van 3den..

+1Sterrenkijker
@pietje63 • 3 januari 2006 10:13

lichtelijk oftopic: hoe maken ze zo'n patch? Ze hebben de broncode toch niet?

weeraanmelden
3 januari 2006 17:35

En niemand heeft oog voor :
"Afgelopen zaterdag werd de exploitcode voor dit lek op internet gepubliceerd,"
31 December 2005...
Op een code die al 16 jaar oud is!
Ze hadden niet kunnen wachten tot 5 januari of tot 1 februari?
Nee, de code express tijdens oud en nieuw bekend maken.
Ons bedrijf was al na kerst "offline" (weinig medewerkers) en bij MS zou het ook niet anders zijn.
Niets nadeel aan MS niets "luie donders" maar een stel hackers die even dat spelde(n)prikje wilde uitdelen.

+1lucid
2 januari 2006 21:47

Het zou een conspiracy theory zijn als er maar een paar honderd lekjes gevonden werden,

is het geen "plausabillity" dat de duizenden ingebouwde "exploits" met opzet erin gezet zijn ?

Ik kan me de tijd van Outlook rond 98, 99 nog herinneren, toen leek het wel een virus enabling platform met mail capabillities.

Ik besef ineens dat dit opgevat gaat worden als een flame richting Microsoft. Zo is het niet bedoeld, maar kom op zeg, een exploit zo diep in de core, voor de zoveelste keer... Doet me denken aan het incident met CheckPoint Firewall Software....

+3Pietje Puk
@lucid • 3 januari 2006 02:11

Vergeet niet dat wmf bedacht werd in een tijd waarin het aantal boeken over beveiliging op 1 plank in de kast paste. (Even afgezien van cryptografie) Het Internet was toen nog niet eens open voor commercieel gebruik, noch was het gebruikelijk dat een bedrijf een modem had (laat staan een particulier) en breedband was er ook nog niet. Je kan zeggen dat MS het had moeten voorzien en alle code die men ooit geschreven had, had moeten reviewen voor het gebruik in een omgeving waar de hele wereld met elkaar verbonden is, maar dat is simpelweg onmogelijk.

Wel moet MS natuurlijk snel een oplossing voor dit probleem bedenken en de bug onmogelijk maken. Daarnaast hebben bedrijven en particulieren zelf ook een eigen verantwoordelijkheid om niet zomaar overal op te klikken en hun systemen up-to-date te houden. Maar zelfs dát is voor velen al te veel moeite.

psyBSD
@Pietje Puk • 3 januari 2006 11:22

Het probleem met deze bug is dat een google image search al genoeg kan zijn om geinfecteerd te worden door een virus... (Niks had je maar beter op moeten letten dus)

0coos.werkeloos
@Pietje Puk • 4 januari 2006 16:42

Het is voor sommige MS-fans moeilijk te erkennen dat Windows een potentieel onveilig OS is.

Dit lek bewijst weer eens dat er een Windows-KAAL versie moet komen zonder ook maar enige uitbreiding. Zo'n kaal OS zou niet eens weten wat het met een wmf-bestand moet doen.
Gebruikers installeren zelf naar wens uitbreidingen en ingeval van een potentieel gevaar in zo'n uitbreiding deinstalleer je de uitbreiding en blijft het niet verborgen in het OS achter.

De EU is nog lang niet ver genoeg gegaan door een OS te eisen zonder mediaplayer. Hopelijk gaan er langzaam wat meer ogen open voor de realiteit.

1 2 3 4 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

SANS roept op onofficiële patch te installeren

Lees meer

Reacties (119)

Sorteer op:

Weergave: