Anti-virus machteloos tegen JPEG exploit?
Volgens Mikko Hypponen van het Finse anti-virusbedrijf F-Secure kan anti-virus software weinig tegen de pas ontdekte Windows JPEG exploit doen. "Normale anti-virussoftware zal standaard geen JPEG bestanden detecteren. Je kunt de scanner instellen dat hij dit wel doet, het probleem is echter dat je de extensie van een JPEG in zoveel dingen kunt veranderen." Er zijn ongeveer 11 soortgelijke extensies waarin een JPEG veranderd kan worden, zoals .icon of .jpg2. Dit maakt het zoeken naar kwaadaardige JPEGs nog veel lastiger, doordat hiervoor kostbare processorkracht nodig is. Een ander probleem is dat Internet Explorer JPEGs verwerkt voordat ze gecached worden, wat betekent dat desktops geinfecteerd raken voordat anti-virus software de kans heeft om in te grijpen. Bedrijven moeten dan ook de gateway scannen, dit kost echter zeer veel bandbreedte. Hypponen is van mening dat het slechts een kwestie van tijd is voordat er een virusaanval, die van de exploit gebruik maakt, zal verschijnen. (Zdnet)
Op desktops voorkomt file typing op slechts de eerste twee bytes (een paar
meer als je het grondig wil doen) een al te grote aanslag op processing
capaciteit. Een veel groter probleem dan processorgebruik is dat je al die
bestanden moet openen en lezen, en daar is vooral de harde schijf en het
bestandssysteem de vertragende factor.
werd dit wel gedaan, maar de scanner dient alle extensies de revue te
laten passeren.
gooien.
Het is zowieso fout om alleen bepaalde extensies te scannen. Vroeger
werd dit wel gedaan, maar de scanner dient alle extensies de revue te
laten passeren.
Het gaat hier om on-access scanning en niet om on-demand scanning.
patch voor, dus je kunt het virus simpel tegengaan...
of wil je ook dat norton antivirus (of een soortgelijk product) ook alle
webpagines scant? dat hoeft voor mij niet... maarja, er zullen hier best
freaks zijn die dat wel willen...
gewoon updaten die hap en klaar is kees...
nog kwetsbare resten zijn achtergebleven:
http://isc.sans.org/gdiscan.php
oplossing te kiezen. Ik laat in het midden welke, anders krijgen we weer een
discussie over dat onderwerp.
Weer een reden te meer om F-Secure links te laten liggen en een echte AV
oplossing te kiezen. Ik laat in het midden welke, anders krijgen we weer een
discussie over dat onderwerp.
Het meeste anti-virus werkt zo. Dit lijkt me geen reden om F-Secure links te
laten liggen.
Het meeste anti-virus werkt zo. Dit lijkt me geen reden om F-Secure links te
laten liggen.
Juist wel. De betere AV scant alles en dan maakt het niet uit wat de extensie
is.
en helemaal geen last mee, die scant gewoon al het verkeer dat via FTP,
SMTP, HTTP, POP3 wil binnenkomen. Maar goed dat is alleen weggelegd
voor grotere bedrijfsnetwerken. Maar goed, wanneer je de patches
installeerd en de virusscanner lokaal up to date houd heb je helemaal geen
last van dit soort exploits
Ieder anti-virus pakket heeft nadelen. Sommige laten je PC hangen of
nemen meer dan 35% van je systemresources in gebruik. JPG extensie
gewoon afvangen in de emailserver, laten ze die fotootjes maar gezipt
opsturen.
Trouwens veel AV-pakketten hebben ook problemen met ZIP files...oeps..
echter zeer veel bandbreedte."
Volgens mij kost dit geen extra bandbreedte, maar louter
processorkracht
(gelukkig heb ik hier nog een aantal smp/mips systemen
liggen ;-)
Mcafee heeft toch ook zo zijn eigen probleempjes hoor....
Ieder anti-virus pakket heeft nadelen. Sommige laten je PC hangen of
nemen meer dan 35% van je systemresources in gebruik. JPG extensie
gewoon afvangen in de emailserver, laten ze die fotootjes maar gezipt
opsturen.
Trouwens veel AV-pakketten hebben ook problemen met ZIP files...oeps..
Je hebt het niet goed begrepen, een JPEG bestand hoeft niet noodzakelijk
een JPG extensie te hebben. Als je alles behalve ZIP bestanden blokkeert
laat je wel alle (nieuwe) virussen toe die zich in ZIP files versturen. Het komt
tegenwoordig veel vaker voor dat een virus in een ZIP file zit, dan andersom.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.