ACHTUNG! Da rollt die größte Virenwelle auf uns zu ! Erstmals verseuchte JPG BILDER!

drmaniac · 25.09.2004

http://www.heise.de/newsticker/meldung/51459

Ich vermute mal ganz stark, dass bis jetzt alle Viren und Wuermer Wellen dagegen harmlos waren. Und anscheinend selbst mit einem gepatchten Windows System gibt es keinen hundertprozentigen Schutz (trotzdem solltet ihr natuerlich die Patches einspielen) !)

Super Sache, jedes JPG was man demnaechst geschickt bekommt oder das man auch nur auf einer Website anschaut... koennte dann die Infizierung ausloesen...

Und das des "Bastelkastens" kann wirklich JEDER so einen Scheiss erzeugen...

DANKE MICROSOFT die davon schon seit einem Jahr wussten :mek:

Patch your System !

"Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder ist aufgetaucht. Nach dem Start des Tools muss man nur noch eine URL zu einem Server eingeben, die auf ein dort gespeichertes beliebiges Programm zeigt. Ein Klick auf "Make" erzeugt dann ein JPG-Bild auf der Festplatte. Dessen Ansicht provoziert bei ungepatchten Applikationen unter Windows einen Buffer Overflow. In der Folge landet im Bild enthaltener Code auf dem Stack, der bei der Ausführung das Programm von der angegebenen URL nachlädt und startet...."

Somabay · 25.09.2004

@drmaniac,
erstmal danke. Das hört sich ja nicht gut an. Na mal sehen wie sich das entwickeln wird. Da es ja wirklich sehr einfach zu sein scheint, wird das wohl leider auch für die Leute in der "Spaßbevölkerung" was werden, die sich noch nie mit solchen Dingen beschäftigt haben. Also dann mal schön aufpassen.

Gruß und Danke
Somabay

TaiPhun · 25.09.2004

Laut Microsoft http://www.microsoft.com/germany/ms/security/jpegsec.mspx: Windows XP Service Pack 2 (SP2) ist von diesem Problem nicht betroffen. Benutzer von Windows XP SP2 müssen nur Office aktualisieren (falls installiert).

Damit sollten wohl nur die Rechner in Gefahr sein, die noch SP1 oder niedriger auf ihrem Rechner installiert haben. Und um ein Update auf SP2 zu fahren wird wohl, soweit es sich auch um eine orig. Windows-Version handelt, es kein Problem darstellen. oder ?

chrischu · 25.09.2004

Hat jemand nen Link zu dem Tool, oder ner Seite, auf dem man a bisserl mehr über den Code lesen kann ? (keine Angst... hab nix böses damit vor

)

cya,
cs

drmaniac · 25.09.2004

so wie heise das getestet hat, ist auch nach gepatchten system noch was drinn..

deswegen ist da ja so boesartig...die Luecke wurde nicht ganz geschlossen...

und ... es geht um Bilder ! Die letzten grossen Wuermer...da gabs auch vorher patches... trotzdem hat es viele erwischt...

TaiPhun · 25.09.2004

chrischu schrieb:
Hat jemand nen Link zu dem Tool, oder ner Seite, auf dem man a bisserl mehr über den Code lesen kann ? (keine Angst... hab nix böses damit vor )

cya,
cs

Klick mal oben auf dem Heise-Link. Dort findest Du einen weiteren Link, wo einiges über diese Geschichte.

Und nochmal Heise:

Anwender sollten aber darauf achten, dass ihr Virenscanner alle Dateien auf dem System untersucht. In einigen Produkten sind Erweiterungen von der Überprüfung ausgenommen, unter anderem auch .jpg. Selbst wenn .jpg explizit angegeben ist, muss das keinen hundertprozentigen Schutz bieten, da ein präpariertes Bild ja auch die gültig Endung .jpeg tragen kann.

Zusammen mit AV-Test untersucht heise Security ein weiteres JPEG-Bild, das auch auf vollständig gepatchten Systemen den Internet Explorer zum Absturz bringt. Der Fehler tritt aber nur in Microsofts Web-Browser auf, andere, von der ursprünglichen JPEG-Sicherheitslücke betroffene Applikationen scheinen in diesem Fall nicht gefährdet zu sein. Sollte sich der Fehler zum Einschleusen von Code ausnutzen lassen, wird heise Security eine Warnungmeldung veröffentlichen. Erste Ergebnisse deuten auf ein Problem bei der Verarbeitung des SOS-Tags in JPGs hin. Eine Null-Pointer-Dereference verursacht eine Speicherzugriffsverletzung, die zum Absturz führt -- Code lässt sich damit wahrscheinlich nicht einschleusen und ausführen.

Also sollte man schon mit einem guten, aktuellen Virenscanner auf der sicheren Seite sein. Wer dann noch anstelle dem IE einen Mozilla oder Opera Browser benutzt und das Betriebssystem auf dem neusten Stand hält, der sollte auch nicht mehr Gefahren als sonst ausgesetzt sein. Und ein Neustart ( Absturz ) kann ich noch so gerade verkraften

Xenozid · 25.09.2004

...habe mal gerade bei meinem Virenscanner (AntiVir Personal) nachgesehen:

Nach meinem letzten Update heute untersucht er nun auch Dateien mit den Endungen ".JPG" und ".JPEG"...

MfG! rWRaTy :cool:

Websurfer · 25.09.2004

also ich glaube, es ist die zeit gekommen,
wo man auf linux umsteigen sollte, und windows der vergangenheit angehört ... zumindest aber der IE !!
aber irgendwie war es vorraus zu sehen, das es irgendwann bilder/videos/wavs trifft.

h3r1n6 · 26.09.2004

drmaniac schrieb:
Und das des "Bastelkastens" kann wirklich JEDER so einen Scheiss erzeugen...

"Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder ist aufgetaucht.

Dazu fällt mir nur das ein:

http://www.stefanhering.net/hackers.jpg

nein das bild ist nicht verseucht :O

TCM- · 26.09.2004

hui, nur mal schnell nen avatar verseuchen und fleissig spammen, dann kann* man schnell mal eben diverse foren-populationen nach ie/non-ie nutzern selektieren. das ist irgendwie noch "passiver", als html-mails mit bildern zu verschicken.

also alle mal fleissig avatare abschalten (oder gleich richtigen browser benutzen)

ps:

*koennte**

**denn natuerlich mach ich das nicht*** und stifte auch nicht dazu an

***ehrlich nicht

Cyrix8 · 26.09.2004

meine Fresse, jetzt muss ich sogar vor Bildern "angst" haben.

Ich habe mein AntiVir nun auch Upgedatet und hoffe das es was bringt, ich selber nütze auch den IE da ich mich einfach mit dem eingearbeitet habe. (Fals der notstand austritt habe ich aber noch Opera )

Kann mir wer mal die Wichtigsten Patches geben die ich brauche ?

ich habe Windows Xp home mit SP1 ( sp2 will ich nicht drauf tun wegen den spielen )

und den IE6

bye

cyrix8

TCM- · 26.09.2004

Cyrix8 schrieb:
ich selber nütze auch den IE da ich mich einfach mit dem eingearbeitet habe. (Fals der notstand austritt habe ich aber noch Opera )

der notstand _ist_ bereits da. was soll denn deiner meinung nach noch passieren?

merlin · 26.09.2004

Cyrix8 schrieb:
[...] ich habe Windows Xp home mit SP1 ( sp2 will ich nicht drauf tun wegen den spielen ) [...]

Schau mal hier.

Futte · 26.09.2004

Was ist denn wenn man noch Win98 2.Edition installiert hat??? Wie kann man sich denn dann davor schützen ???

merlin · 26.09.2004

Win9x ist davon nicht betroffen.

http://www.microsoft.com/germany/technet/servicedesk/bulletin/ms04-028.mspx

Neptuns · 29.09.2004

Und ich hab mal ne Tool gesucht das den Rechner nach betroffenen DLL´s absucht. Es sind nicht nur Microsoft Produkte die betroffen sind!!!

Anhang : Scantool hier oder im Anhang

Somabay · 29.09.2004

@Neptuns,
wenn mir dein Tool da was anzeigt, was mache ich dann? Sind dann alle datein infiziert? oder muss ich da was beachten? Woher weis ich also was gefährlich ist und was nicht?

Hier mal mein ergebnis:

Scanning Drive C:...

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL

Version: 11.0.6360.0

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VGX\vgx.dll

Version: 6.0.2900.2180

C:\Programme\Microsoft Office\OFFICE11\GDIPLUS.DLL

Version: 6.0.3264.0

C:\Programme\Microsoft Works\GDIPLUS.DLL

Version: 5.1.3102.1360

C:\WINDOWS\$NtServicePackUninstall$\sxs.dll

Version: 5.1.2600.1515

C:\WINDOWS\$NtServicePackUninstall$\vgx.dll

Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3 w/IE6 SP1 only)

C:\WINDOWS\$NtUninstallKB839645$\sxs.dll

Version: 5.1.2600.1106 <-- Possibly vulnerable (Backup for uninstall purposes)

C:\WINDOWS\Installer\$PatchCache$\Managed\7040110900063D11C8EF10054038389C\11.0.5614\MSO.DLL

Version: 11.0.5606.0

C:\WINDOWS\ServicePackFiles\i386\sxs.dll

Version: 5.1.2600.2180

C:\WINDOWS\ServicePackFiles\i386\vgx.dll

Version: 6.0.2900.2180

C:\WINDOWS\system32\sxs.dll

Version: 5.1.2600.2180

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13\GdiPlus.dll

Version: 5.1.3097.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\GdiPlus.dll

Version: 5.1.3101.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll

Version: 5.1.3102.2180

Scan Complete.

Gruß mit Bitte um Hilfe
Somabay

Obby · 30.09.2004

Hier nen Link für die Leute, die kein SP2 haben (wollen).
http://download.microsoft.com/downl...b-8b0a18f0b2dc/WindowsXP-KB833987-x86-DEU.EXE
Das ist nur der Fix.

Gruß

Neptuns · 30.09.2004

Hier die Patches von Microsoft (XP / Office usw.)

Anwender sollten sich mit dem Hersteller der jeweiligen Applikation in Verbindung setzen, ob eine aktualisierte Version verfügbar ist. Einigen Berichten zufolge funktioniert es manchmal, eine verwundbare durch eine nicht-verwundbare DLL zu ersetzen. Davon ist allerdings eigentlich abzuraten -- wer es dennoch probieren will, sollte zuvor Sicherungskopien der Dateien anlegen, die überschrieben werden sollen, da die Gefahr besteht, Anwendungen funktionsunfähig zu machen.

auf einem vollständig gepatchten Windows-XP-SP1-System immer noch zwei verwundbare und drei eventuell verwundbare DLLs -- zwei davon sind allerdings durch die Patches deinstallierte Versionen. Die Gegenprobe brachte es an den Tag: Die Demo-Bilder ließen den Windows Explorer immer noch abstürzen. Beim nochmaligen Besuch der Windows-Update-Seiten wurde uns aber kein Patch mehr angeboten. Entweder sind Microsofts Patches unwirksam -- oder der Windows Explorer verwendet in solchen Fällen eine DLL, die von der Applikation eines Drittherstellers installiert wurde und folglich nicht von Microsoft gepatcht werden kann.

Quelle : Heise.de

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL

C:\Programme\Microsoft Office\OFFICE11\GDIPLUS.DLL

=> Office Update

C:\Programme\Microsoft Works\GDIPLUS.DLL

=> Works Update (wenn es das gibt)

Mr.a · 01.10.2004

ich sag nur www.firefox-browser.de da gibts keine Probs mit den Bildern auch wenn die verseucht sind.

klickt auf der Seite mal auf das Forum...... da wird Euch geholfen.

Firefox benutzt einen verschlüsselten Cach und deshalb können die Bilder nix nachladen.

Gruß
Mr.a

ACHTUNG! Da rollt die größte Virenwelle auf uns zu ! Erstmals verseuchte JPG BILDER!

drmaniac

Somabay

TaiPhun

chrischu

drmaniac

TaiPhun

Xenozid

Websurfer

h3r1n6

TCM-

Cyrix8

TCM-

merlin

Futte

merlin

Neptuns

Somabay

Obby

Neptuns

Mr.a

ACHTUNG! Da rollt die größte Virenwelle auf uns zu ! Erstmals verseuchte JPG BILDER!

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums