На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-9-23 на главную / новости от 2004-9-23
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 23 сентября 2004 г.

Эксплойт использует графический дефект Windows

В среду в интернете появился образец кода, демонстрирующий, как взламывать Windows-компьютеры, воспользовавшись ошибкой в программе обработки широко распространенного графического формата.

Эксперты дожидались появления подобного кода, за которым должен последовать новый раунд вирусных атак на незащищенные компьютеры под Windows. Ошибка в способе обработки графики JPEG позволяет программе перехватывать управление компьютером жертвы при открытии файла JPEG. «В ближайшие дни мы, вероятно, увидим атаки с использованием этого кода, — говорит старший директор Symantec Винсент Уифер. — Такая опасность возрастает потому, что каждый в той или иной мере работает с файлами JPEG».

Программа представляет собой последний пример кода «эксплойта», образца, демонстрирующего способ создания злокачественных программ. Такой код предшествовал появлению червя Sasser, который последовал два дня спустя, и червя MSBlast, который появился через девять дней после выхода эксплойта.

Критическая ошибка, которую использует данная программа, относится к тому, как операционные системы и другое ПО Microsoft обрабатывает широко распространенный формат изображений JPEG. Так как браузер Microsoft Internet Explorer тоже уязвим, пользователи Windows могут подвергнуться атаке, просто посетив веб-сайт с изображениями в формате JPEG.

Ошибка присутствует в разных версиях, по крайней мере, дюжины прикладных программ и операционных систем Microsoft, включая Windows XP, Windows Server 2003, Office XP, Office 2003, Internet Explorer 6 Service Pack 1, Project, Visio, Picture It и Digital Image Pro. Софтверный гигант приводит полный список приложений в рекомендациях на своем веб-сайте. Обновление Windows XP Service Pack 2, которое все еще продолжает распространяться среди заказчиков, не подвержено влиянию этой ошибки.

Пользователи могут загрузить исправления через серверы Microsoft Windows Update и Office Update. Кроме того, софтверный гигант предлагает программы, сканирующие систему на наличие уязвимого ПО и исправляющие его.

Symantec и другие антивирусные фирмы выпустили обновления к своим сканерам, добавив обнаружение изображений, пытающихся использовать ошибку. 

 Предыдущие публикации:
2004-09-15   Картинки представляют серьезную опасность для Windows-ПК
 В продолжение темы:
2004-10-03   Ошибка в RealPlayer делает возможными атаки через видео
2004-12-09   Дистрибьюторы Linux борются с уязвимостью графической библиотеки
Обсуждение и комментарии
tstone - saldomail.ru
23 Sep 2004 11:31 AM
"Софтверный гигант" - гигант... твою мать.
 

Black ANti-KDE.*
23 Sep 2004 12:31 PM
дина от растишки.
 

LinFan
23 Sep 2004 3:46 PM
Это они щас болеють, а вообще-то белые и пушистые :)
 

Alexander S.
23 Sep 2004 4:54 PM
Дети, не забудьте пропатчить свой Линух, прежде чем забавлять взрослых дядей своими глупостями.
 

NoFate
23 Sep 2004 7:05 PM
Александр, а от чего патчить?? или просто ядро обовить??? Или вы просто понты киданули??
 

A
23 Sep 2004 8:38 PM
2 Alexander S.:

Ответ детей - достаточно одного патча и эксплоиты на любые программы не страшны. В лучшем случае программа получит "Segmenation fault", что по "взрослому" означает "Программа выполнила недопустимую операцию и будет закрыта".

В отличии от "взрослых" ОС, в которые механизмы защиты от переполнений буферов может быть даже введут через пару лет (да и то если железо будет соответствующее), в детских ОС эти механизмы присутствуют уже лет пять.

Посему просьба к детям - отстаньте от взрослых дядей, не мешайте им защищать свою "взрослую" ОС от графических файлов.
 

!!
23 Sep 2004 10:20 PM
http://www.microsoft.com/technet/security/bulletin/MS04-028. mspx
 

Fenix*NBK*
23 Sep 2004 11:20 PM
to A:

Bravo !!!
 

кун4ненн54р45
24 Sep 2004 12:26 AM
2A:
достаточно одного патча

Одно мне только непонятно - все так хорошо, все так хвалят PAX (речь о нем, как я понимаю?), но в ядро не включают, держат отдельным патчем. Почему?
 

NoFate
24 Sep 2004 12:55 AM
2 кун4ненн54р45:
Потому как это расширение ядра, и не всем он нужен. Хотя стоило бы его как отдельную опцию включить, но тут уже дело разработчиков. Но главное не в этом, а в том что он есть.
 

A
24 Sep 2004 2:43 AM
2 кун4ненн54р45:

> Одно мне только непонятно - все так хорошо, все так хвалят PAX (речь о нем, как я понимаю?),
> но в ядро не включают, держат отдельным патчем. Почему?

Вообще-то в оригинальном 2.6.* имеется и PaX и Grsecurity. Только RSBac-а не хватает. Хотя он чуть ли не всю подсистему контроля и прав меняет. При нем и рута бесправным можно сделать :)
 

zenith
24 Sep 2004 5:43 AM
Ребятам из zdnet видимо писать нечего - решили о багах микросукся оповещать.
 

кун4ненн54р45
24 Sep 2004 2:18 PM
2NoFate
главное не в этом, а в том что он есть.

Ну, под виндой тоже кое-что "есть" (не столь навороченное, но вполне действенное), вроде OwerflowGuard, StackDefender или ключика /GS в VC++.
 

LinFan
24 Sep 2004 2:41 PM
Alexander S.: Ну конечно, конечно вы правы - взрослые дяди полгода как без ActiveX и JavaScript в инет по-большому ходють, теперь вот графику отключать... MS IE плавно перерождается в шото типа MS Lynx. Бог в помощь!:) (с)"Жил был пес.." А детям остается юзать Safari/Konqueror и читать "сказки" про меломягкие баги на zdnete.
 

NoFate
24 Sep 2004 3:53 PM
2 кун4ненн54р45:
я же говорю, что девелоперы считают что не стоит этого делать.Да и о манях опять речь идет. У Циске тоже ИДС есть на винде... но без шасси дорогостоящего она не нужна...
 

кун4ненн54р45
24 Sep 2004 4:34 PM
2NoFate:
считают что не стоит этого делать

Вот и хотелось бы когда-нибудь услышать о недостатках подхода paxа, из-за которых его не торопятся установить все поголовно. Пока его выдвигают как панацею от всех бед: у нас есть pax, и все уязвимости нам пох. Но уязвимости почему-то продолжают находить, эксплуатировать и затыкать.
Я надеюсь, вы не думаете, что в МСе о paxе не слышали? Только вот вводить такое в винду - шибко рисковано. В NT права ввели - до сих пор крики, что под виндой неадмином работать невозможно. В XP SP2 порты прикрыли - вой на пол-мира. Мало кто будет разбираться, что именно происходит. Свежий случай: http://bink.nu/?ArticleID=2577 И понеслось - According to the Los Angeles Times, Microsoft's software contained an internal clock designed to shut the system down after 49.7 days to prevent it from becoming overloaded with data. МС далеко не ангелы - но это уже беспредел.

Да и о манях опять речь идет

Кому и впрямь позарез нужна безопасность, за манями не постоят (хотя начиная с некоторой затраченной суммы злые хакеры просто купят персонал). Но жизнь показывает, что большинству юзеров она просто до лампочки - они патчей, антивирусов не ставят, политик не настраивают, пароли задают "123". Так фигли МСу нарываться лишний раз на скандалы - больше потеряешь, чем заработаешь.
 

A
24 Sep 2004 7:39 PM
> из-за которых его не торопятся установить все поголовно.

Я ж сказал - в 2.6 он уже есть. Кроме того, в дистрибутивах на 2.4 обычно тоже. ASP так изначально его использовал. Я так понимаю, RH8+ тоже.

> Пока его выдвигают как панацею от всех бед: у нас есть pax, и все уязвимости нам пох.

От 99%. Ошибок в ядре он не закроет.

> Но уязвимости почему-то продолжают находить, эксплуатировать и затыкать.

Правильно. А зачем плодить кучу программ, которые сами себя не защищают ?
 

кун4ненн54р45
24 Sep 2004 8:02 PM
2A
Я ж сказал - в 2.6 он уже есть

Как тогда следует понимать слова
PaX is part of grsecurity
PaX is part of Adamantix (Trusted Debian)
PaX (grsecurity) is part of Hardened Gentoo
c http://pax.grsecurity.net/, если он является неотъемлемой частью ядра?

От 99%.

Верю. А теперь хочется услышать, какому проценту нужного и хорошего софта он мешает жить.

А зачем плодить кучу программ, которые сами себя не защищают

А зачем защищать то, что уже и так за каменной стеной?
 

случайный имя
24 Sep 2004 8:54 PM
2кун4ненн54р45:

a X-ы уже работают под ним?
 

случайный имя
24 Sep 2004 9:00 PM
2кун4ненн54р45:

читать описание GetTickCount в Windows API. Там про эти 49.7 дней написано :) Специально же даже в новости написано: [Bink: not a design glitch in windows, but a poorly written traffic app!!]. Но ведь не хочется замечать, правда? :)

Кстати, в SP2 для XP был введен DEP (Data Execution Protection). И не только на amd64, но и обычные процы. Это же перекочует и в Windows Server 2003 Sp1.

Ну a ACL в Windows были с незапамятных времен (NTFS). И не только на файловой системе, а _везде_ - на любом объекте ядра
 

кун4ненн54р45
24 Sep 2004 9:20 PM
2случайный имя
Специально же даже в новости написано

Ну так это приписано к новости на сайте, который ведет MS most valuable professional, а вот в http://www.neowin.net/comments.php?id=24360&category=main об этом ни слова. Зато какое обсуждение...

Ну a ACL в Windows были с незапамятных времен

Отож, что с незапамятных. Тем не менее, до сих пор пишется софт, которому на это глубоко плевать. А потом в форумах заявляют, что "под виндой простым юзером работать невозможно".

a X-ы уже работают под ним

ахз, это к линуксоидам вопрос. Мне вот еще интересно, как под paxом или DEPом будет работать жаба или .net, которые на лету компиляют в память и тут-же исполняют результат.
 

случайный имя
24 Sep 2004 9:58 PM
2кун4ненн54р45:

в обсуждении на неовин-е тоже это есть (пост 1.6). Если же посмотреть 1.8, то можно убедиться, что и на unix такая проблема тоже могла быть

"Тем не менее, до сих пор пишется софт,"
надеюсь уже нет. Фактически, я не админом работаю уже больше года. Вызывают проблемы только старые игрушки и старый софт - им нужны разрешения на файлы конфигураций. Все новое работает из под простого пользователя без подкруток.

"или DEPом будет работать жаба или .net"
не тестировал. Но думаю, что должно (__имхо__ <-- обратить внимание на это слово :) )
 

A
24 Sep 2004 10:41 PM
2 кун4ненн54р45:

> c http://pax.grsecurity.net/, если он является неотъемлемой частью ядра?

А кто сказал, что неотъемлемой ? Хочешь - включишь. Не хочешь - не включишь :)

> Верю. А теперь хочется услышать, какому проценту нужного и хорошего софта он мешает жить.

0%

Единственные две софтины, которой нужен исполняемый стэк - это wine и dosemu. Но для таких случаев имеется утилитка chstk, которая разрешает или запрещает исполнимый стэк для конкретного приложения.
Всё остальное работает и без него, что вобщем-то правильно.

> А зачем защищать то, что уже и так за каменной стеной?

Вот вот... Из-за такого подхода у MS проблемы либо с безопасностью, либо с SP2. На выбор.
Ты ж понимаешь, что на каждый щит найдется свой меч. Но если щитов много, то мечи подбирать забодаешься :)

> Мне вот еще интересно, как под paxом или DEPом будет работать жаба или .net, которые на лету
> компиляют в память и тут-же исполняют результат.

Ну как-то же работают ? Вероятно, потому что они не "компиляют" в привычном смысле этого слова. Интерпретирующие языки сначала делают свой байт-код, а потом его обрабатывают. Жаба работает непосредственно с собственным байт-кодом. Потому эти языки являются архитектурно- и платформо-независимыми.

Про .Net ничего не скажу, кроме того, что под как-то работает под mono.
 

A
24 Sep 2004 10:43 PM
2 случайный имя:

> Все новое работает из под простого пользователя без подкруток.

Не всё. Есть у Logitech последняя поделка в области управления нарисованным автомобилем. Так её, как устроство, видно только пользователям из группы администраторов. Всё это дело под XP.
 

кун4ненн54р45
24 Sep 2004 11:43 PM
2A
Хочешь - включишь. Не хочешь - не включишь :)

Вот я и спрашиваю, почему такой рулез не включен в ядро по умолчанию.

Но если щитов много, то мечи подбирать забодаешься

А если щитов слишком дофига, то забодаешься их носить.
 

A
25 Sep 2004 1:47 AM
2 кун4ненн54р45:

> Вот я и спрашиваю, почему такой рулез не включен в ядро по умолчанию.

Так это... По-умолчанию он включен. В ASP например.

> А если щитов слишком дофига, то забодаешься их носить.

Попривыкали под win щиты сносить, чтобы работать можно было... Зачем, спрашивается ? Ты, что ли, хацкер ? :)

Unix изначально была задумана, как многопользовательская система с разделением прав. Соответственно, клоны это унаследовали и всё ПО изначально писалось с учетом этого. Кроме того, если кто не в курсе, многие сервисы работают без прав админа, некоторые работают в своей области дискового пространства (какой-нибудь подкаталог в качестве корня), а подавляющее большинство в ходе работы опускает себе права. И ведь работают же. И ничего не нужно для этого "сносить".

Кстати, вопрос - какая идеология раздачи прав в win: разрешить всё и пусть админ решает, что запрещать ?
 

случайный имя
25 Sep 2004 11:41 AM
2 кун4ненн54р45:

идеология "запретить все и пусть админ решает, что разрешить".

2 А:
я даже спорить не буду :) Правильнее было бы сказать, все новое, _чем я пользуюсь_, работает без подкруток. Logitech видимо досих пор не научилась нормально писать софт... Как эти "писатели" системы траффик-контроля :)
 

кун4ненн54р45
25 Sep 2004 4:26 PM
2A:
По-умолчанию он включен

Ничего не понимаю. Как это может быть: является частью нескольких дистрибутивов (список с родного сайта ниже) и постоянно именуется патчем, но в ядре (общем для всех, как я понимаю) присутствует и по умолчанию включен.

Кстати, вопрос - какая идеология раздачи прав в win: разрешить всё и пусть админ решает, что запрещать

Вроде того, хотя наметились обратные тенденции (IIS 6.0). Все дело в том, что домохозяйка привыкла к тому, что утюг включаешь - и он сразу работает. Того-же она ждет и от компьютера. И если он сразу не будет делать того, для чего куплен - значит он просто поломан и будет возвращен в магазин. Можно по этому поводу возмущаться и негодовать, но если хочешь, чтобы домохозяйка юзала твой софт - не умничай, а учитывай ее психологию.

Попривыкали под win щиты сносить

Я сказал "носить". В армейской юности в ОЗК бегать не приходилось? Особенно по жаре, быстро наводит на размышления о разумной достаточности щита. ;)
 

A
25 Sep 2004 10:20 PM
2 случайный имя:

> идеология "запретить все и пусть админ решает, что разрешить"

А с виду наоборот. Win-сеть доступна отовсюду. Почтовый сервер доступен отовсюду. DNS-сервер доступен отовсюду...

> Logitech видимо досих пор не научилась нормально писать софт...

Хотя казалось бы, извествная фирма.
С другой стороны, кто распоряжается парвами на устройство - дрова к нему или ОС ?
 

A
25 Sep 2004 10:26 PM
2 кун4ненн54р45:

> и постоянно именуется патчем, но в ядре (общем для всех, как я понимаю) присутствует и по
> умолчанию включен.

Вот как-то так. Вероятно потому, что разрабатывается он не ядерной командой.

> Вроде того, хотя наметились обратные тенденции (IIS 6.0).

Давно пора.

> Я сказал "носить".

Признаю. Недоглядел :)

> В армейской юности в ОЗК бегать не приходилось?

Неа. Я вместо "армейской юности" активно работал :)
 

NoFate
25 Sep 2004 11:15 PM
тока посмотрел свой линукс и в правду есть в стандартном ядре. Кстати в родном ядре помоему его нету, а вот в ядрах дистрибов есть. Отдельным пачем он выложен потому, что иногда ядро выходит, а патча для него нет.. я так думаю... Да и вроде комманда пакса и грсекурити не является kernel developer.
 

кун4ненн54р45
25 Sep 2004 11:44 PM

Вероятно потому, что разрабатывается он не ядерной командой.

Т.е., с точки зрения ядерной команды, главным недостатком paxа, мешающим его включению в ядро, является то, что его писали не они? ;)

Давно пора

На серверах - да.
 

A
26 Sep 2004 12:29 AM
> Т.е., с точки зрения ядерной команды, главным недостатком paxа, мешающим его включению в
> ядро, является то, что его писали не они? ;)

Это у них надо спросить :)

PS. Минут через 20 гляну на оригинальное 2.6.8
 

A
26 Sep 2004 1:35 AM
Посмотрел я на ядро с kernel.org. Имеются SELinux (он содержит в себе функциональность PaX), запрет запуска программ с привилегиями рута при отсутствии USB-ключа, перехват сетевых соединений и нечто под названием "Default Linux Capabilities".

Значится, PaX и GRSecurity были внесены дистрибьюторами. Вобщем-то, к этому ядерщики и пришли пару месяцев назад. Они делают базу, а дистрибьюторы наворачивают её чем хотят. Если им верить, это и практиковалось уже долгое время.
 

Alexander S.
27 Sep 2004 8:34 PM
2 LinFan

>Ну конечно, конечно вы правы - взрослые дяди полгода как без ActiveX и JavaScript в инет по-большому ходють, теперь вот графику отключать...

Нет, дорогой- так делают дети, запуганные сказками о страшном волке по имени JavaScript, который в шкуре ActiveX залезет к ним в домик через дыру в Интернет Експлорере- и съест.
 

tstone - saldomail.ru
28 Sep 2004 7:56 AM
Если мне склероз не изменяет, начиная с 386 процов, ошибки переполнения буферов (сегментов) можно вылавливать аппаратно!

И только величайшему бейсик-программисту могла прийти в голову использовать общий сегмент для данных и кода!

При таком "главном архитекторе ПО" нам еще до-о-о-олго придется наступать на эти грабли.
 

A
28 Sep 2004 2:18 PM
> Если мне склероз не изменяет, начиная с 386 процов, ошибки переполнения буферов (сегментов)
> можно вылавливать аппаратно!

Скажем так, можно только перехватить исключение исполнения неисполняемого сегмента. Что эти патчи и делают.

> И только величайшему бейсик-программисту могла прийти в голову использовать общий
> сегмент для данных и кода!

Вроде бы модели tiny и small ушли вместе с досом. Все остальные модели разделяют сегменты кода, данных и стэка.

Кстати, уязвимости на базе переполнения буферов экплуатируют сегмент стэка, а не данных.
 

DemonZLa
30 Sep 2004 10:42 AM
Будем надеятся все уже себе поставили SP2... а то мало ли... хехехе...
 

 

← август 2004 17  20  21  22  23  24  27  28  29 октябрь 2004 →
Реклама!
 

 

Место для Вашей рекламы!