JPEG avvelenate inquinano Internet

Le prime immagini JPEG capaci di trarre vantaggio da una recente vulnerabilitÓ di Windows hanno giÓ cominciato a circolare su alcuni gruppi di discussione e altre risorse on-line. L'allarme Ŕ rosso - UPDATED

Roma - Negli scorsi giorni hanno fatto la loro apparizione su newsgroup, network di instant messaging e alcune pagine Web le prime immagini JPEG capaci di sfruttare la recente vulnerabilitÓ MS04-028 di Windows.

Gli utenti che inavvertitamente scaricano le immagini "avvelenate" possono ritrovarsi nel PC alcuni ospiti indesiderati, come ad esempio cavalli di Troia capaci di dare ad un cracker il pieno controllo del sistema.

Le JPEG malevoli sono state introdotte in diversi gruppi di discussione in lingua inglese, soprattutto quelli della famiglia "binaries": qui si trovano parecchi sottogruppi, primo fra tutti "alt.binaries.erotica", contenenti migliaia di immagini. Chi ha pubblicato le immagini ha utilizzato l'indirizzo e-mail, ovviamente falso, Power-Poster@power-post.org.
Le JPEG "cattive" sono indistinguibili da quelle innocue, tuttavia al loro interno contengono una versione leggermente modificata dell'exploit di cui si Ŕ dato notizia pochi giorni fa. Il codice di questo exploit, noto come "JPEG of Death" (che richiama alla memoria il famoso "Screen of Death"), fa leva su di un bug di tipo buffer overflow che si trova all'interno del componente GDI+ di Windows. Pi¨ nel dettaglio, il file incriminato Ŕ "gdiplus.dll", una libreria utilizzata, oltre che da Windows, da almeno un'altra dozzina di prodotti Microsoft e da decine di software sviluppati da terze parti: fra questi, ad esempio, vi Ŕ la suite di tool grafici che Sony distribuisce insieme alle proprie fotocamere digitali.

Le JPEG al veleno avvistate sui newsgroup contengono al loro interno una copia di Radmin o di VNC, due tool perfettamente legittimi che consentono di controllare un PC da remoto: in questo caso, per˛, questi programmi possono essere utilizzati da un aggressore come una sorta di trojan con cui prendere possesso del computer remoto. Secondo quanto riportato da alcuni esperti di sicurezza, le immagini malevole funzionano solo su alcune versioni di Windows XP.

Queste JPEG "con sorpresa" non possono definirsi dei virus o dei worm, visto che non hanno la capacitÓ di diffondersi autonomamente, tuttavia possono contenere tali minacce. Alcune societÓ antivirus ritengono inoltre che un worm capace di trarre vantaggio da questa vulnerabilitÓ sia ormai dietro le porte: la raccomandazione Ŕ dunque quella di installare, se non lo si Ŕ ancora fatto, le patch rilasciate il 14 settembre da Microsoft.

In questo advisory il SANS Institute spiega come alcune JPEG velenose siano state distribuite anche attraverso il network di messaggistica istantanea di AOL, AIM, e come al momento si conoscano giÓ due trojan contenenti l'exploit JPEG of Death.

Update - Per sapere se il proprio PC contiene una delle versioni vulnerabili della liberia GDI+ Ŕ possibile scaricare questo tool gratuito e consultare il relativo forum di supporto (in inglese). E' possibile sostituire le DLL vulnerabili con questa versione aggiornata di Microsoft, tuttavia non Ŕ garantita la piena compatibilitÓ con tutte le applicazioni, specie quelle di terze parti: per tale ragione si consiglia di fare un backup del vecchio file prima di sostituirlo con il nuovo.
TAG: microsoft
59 Commenti alla Notizia JPEG avvelenate inquinano Internet
Ordina
  • PEccato che sono almeno 4 mesi che c'è il rimedio su windowsupdate...
    non+autenticato
  • C:\Programmi\Macromedia\Dreamweaver MX 2004\gdiplus.dll
       Version: 5.1.3097.0 <-- Vulnerable version   In lacrime

    Come da topic
    non+autenticato
  • Fatto lo scan con l'apposito tool mi segnala questo:

    C:\Programmi\File comuni\Microsoft Shared\Office10\MSO.DLL
       Version: 10.0.2625.0 <-- Possibly vulnerable (Under OfficeXP only)

    come posso risolvere???
    GRAZIE
    non+autenticato
  • - Scritto da:
    > Fatto lo scan con l'apposito tool mi segnala
    > questo:
    >
    > C:\Programmi\File comuni\Microsoft
    > Shared\Office10\MSO.DLL
    >    Version: 10.0.2625.0 <-- Possibly vulnerable
    > (Under OfficeXP
    > only)
    >
    > come posso risolvere???
    > GRAZIE
    non+autenticato
  • ...dove il programmino di scansione ha trovato possibili vulnerabilita`, mi verrebbe voglia (per la centottantesima volta dal 1996) di mandare Windows a quel paese... peccato ache stavolta non possa farlo perche` il resto del mondo continua indefesso a preferirlo, e per qualcuno i programmi li dovro` pur fare...

    C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13\GdiPlus.dll

    ora ditemi voi chi e` l'insano che ha partorito quel percorso...
    non resta che chiudere gli occhi e sperare, come sempre...

    *va a scaricare la patch anche per IE6 anche se non lo usa, si sa mai qualche altro programma ci facesse affidamento*

    gia`, appunto, facciamo applicazioni mettendo insieme i pezzi invece di lavorare davvero... poi guarda dove si va a finire...
    mafancvlo a tutto il mondo dell'informatica odierna da quando i programmi hanno cominciato a superare il megabyte cadauno...

    Ecco, stavolta sono stato sintetico.
    Sfogo senza commento.
    non+autenticato
  • prima di fare lo scafato informati, và.

    Ignore files in directories like Windows\$NtUniinstallKBxxxxx\ and Windows\WinSxS. These are old versions left behind for uninstal purposes.

    http://isc.sans.org/gdiscan.php

    non+autenticato
  • - Scritto da: Anonimo
    > prima di fare lo scafato informati,
    > và.

    Ah credimi, piu` scafato di cosi`...

    > Ignore files in directories like
    > Windows\$NtUniinstallKBxxxxx\ and
    > Windows\WinSxS. These are old versions left
    > behind for uninstal purposes.
    >
    > isc.sans.org/gdiscan.php

    Non m'hai capito: non intendevo puntualizzare il fatto che i file trovati fossero o non versioni vulnerabili di quella dll... intendevo proprio puntualizzare la lunghezza del percorso: io ho apprensione al solo avere sull'hard disk una directory con un percorso cosi` lungo, per uno strano istinto mutuato da tempi ormai lontani.

    Sissi' avevo letto quel warning, fra l'altro. Non ero affatto preoccupato per la presenza del file, mi da' proprio il voltastomaco:

    a) il percorso alla directory
    b) il fatto che un bug del genere possa anche solo esistere
    c) il fatto che i programmi oggi si montino, non si scrivano
    d) il fatto che un sistema operativo occupi 1 Gb
    e) le prese USB
    f) i BIOS made in taiwan
    g) i moduli DRAM difettosi
    h) i processori con ventole a velocita` variabile
    i) l'esistenza stessa delle DLL
    j) l'attivita` in background dei sistemi operativi
    k) le cache write-behind
    l) le tastiere multimediali munite di apposito driver
    m) il multitasking via software
    n) l'accelerazione grafica via hardware
    o) i programmi di posta che interpetano le piu` assurde tag html
    p) i browser che permettono l'embedding di eseguibili
    q) il VB scripting
    r) i DMI Pools
    s) i modem interni usa-e-getta, tanto il modem fa ben poco
    t) gli InstallShields... *ride*
    u) DirectX che fino alla specifica 7.x non permetteva il blitting da DRAM a VRAM, e rifiutava qualsiasi superficie che avesse un lpSurface non nullo, salvo poi comunque non blittare velocemente quanto un ciclo che passa dal bus della fpu, ma in pratica usando il trasferimento via cpu e non qualche accelerazione specifica...
    v) gli agenti software di qualsiasi tipo
    w) il fatto che il 90% dei virus oggi si affida all'utente per essere installato... *ride*
    x) l'incoerenza del C++
    y) il fatto che un computer usi un driver anche per andare a pisciare

    e

    z) quelli che non capiscono a cosa ti riferisci, ma non rinunciano a supporre che tu sia il primo idiota che passa.

    E ringrazia che ho finito le lettere dell'alfabeto, pivello.
    Perche` stavolta tocca a me fare un po' il presuntuoso, ho le palle piene.

    ps.
    Moderatori, sentitevi pure liberi di spostare 'sto thread.
    Non me la prendo, anzi... in fondo devo aggiungere qui le mie scuse. Ammetto che non aspettavo altro che qualcuno rispondesse con un implicito "sei un idiota", e questo si configura come trolling. Ben riuscito, anche.

    ==================================
    Modificato dall'autore il 01/10/2004 7.43.24
    non+autenticato
  • da questo post si evince che tu manco sai dove sta di casa l'informatica, bravo!!!
    non+autenticato
  • - scaricare la gdiplus.dll aggiornata dal sito della microsoft
    - copiatela su un dischetto (se ce li avete ancora) oppure masterizzatela su un cd
    - cercate tutte le gdiplus.dll che trovate in giro nell'hd e segnatevi il path
    - inserire il cd di windowsXP
    - spegnere la macchina
    - riaccedenderla
    - fare il booting da cd
    - scegliere "Ripristina windows tramite la console di ripristino" quando il setup ve lo propone
    - scegliere l'installazione di windows (di solito è la 1)
    - entrare come administrator (per la password di administrator in windowsXP basta dare invio senza scrivere nullaTristeTristeTriste )
    - sovrascrivete la gdiplus.dll del dischetto su tutte quelle che avevate segnato
    - togliete il cd
    - riavviate

    attenzione: questa procedura non risolve i problemi di office, execel, etc..... ma solo dei programmi che fanno uso della gdiplus.dll come libreria esterna.
    non+autenticato

  • > attenzione: questa procedura non risolve i
    > problemi di office, execel, etc.....

    aggiornarli costa troppa fatica vero?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)