image

Anti-virus machteloos tegen JPEG exploit?

woensdag 29 september 2004, 15:27 door Redactie, 16 reacties

Volgens Mikko Hypponen van het Finse anti-virusbedrijf F-Secure kan anti-virus software weinig tegen de pas ontdekte Windows JPEG exploit doen. "Normale anti-virussoftware zal standaard geen JPEG bestanden detecteren. Je kunt de scanner instellen dat hij dit wel doet, het probleem is echter dat je de extensie van een JPEG in zoveel dingen kunt veranderen." Er zijn ongeveer 11 soortgelijke extensies waarin een JPEG veranderd kan worden, zoals .icon of .jpg2. Dit maakt het zoeken naar kwaadaardige JPEGs nog veel lastiger, doordat hiervoor kostbare processorkracht nodig is. Een ander probleem is dat Internet Explorer JPEGs verwerkt voordat ze gecached worden, wat betekent dat desktops geinfecteerd raken voordat anti-virus software de kans heeft om in te grijpen. Bedrijven moeten dan ook de gateway scannen, dit kost echter zeer veel bandbreedte. Hypponen is van mening dat het slechts een kwestie van tijd is voordat er een virusaanval, die van de exploit gebruik maakt, zal verschijnen. (Zdnet)

Reacties (16)
29-09-2004, 16:12 door Anoniem
Normaliter dien je op de mail scanners gewoon alle bestanden te scannen.

Op desktops voorkomt file typing op slechts de eerste twee bytes (een paar
meer als je het grondig wil doen) een al te grote aanslag op processing
capaciteit. Een veel groter probleem dan processorgebruik is dat je al die
bestanden moet openen en lezen, en daar is vooral de harde schijf en het
bestandssysteem de vertragende factor.
29-09-2004, 16:38 door Anoniem
Het is zowieso fout om alleen bepaalde extensies te scannen. Vroeger
werd dit wel gedaan, maar de scanner dient alle extensies de revue te
laten passeren.
29-09-2004, 16:40 door Anoniem
De patch van Microsoft is zeker een aanrader om deze exploit dicht te
gooien.
29-09-2004, 16:59 door Anoniem
Door Anoniem
Het is zowieso fout om alleen bepaalde extensies te scannen. Vroeger
werd dit wel gedaan, maar de scanner dient alle extensies de revue te
laten passeren.

Het gaat hier om on-access scanning en niet om on-demand scanning.
29-09-2004, 17:14 door Anoniem
Sorry hoor, maar dit vind ik niet echt boeiend. Er is al een
patch voor, dus je kunt het virus simpel tegengaan...
29-09-2004, 17:20 door Anoniem
mailscanning is niet echt van toepassing op browsen ofwel?

of wil je ook dat norton antivirus (of een soortgelijk product) ook alle
webpagines scant? dat hoeft voor mij niet... maarja, er zullen hier best
freaks zijn die dat wel willen...

gewoon updaten die hap en klaar is kees...
29-09-2004, 17:42 door Anoniem
Inderdaad, updaten en nog even nascannen met GDIscan of er
nog kwetsbare resten zijn achtergebleven:

http://isc.sans.org/gdiscan.php
29-09-2004, 17:52 door Anoniem
Hup, op naar de volgende bug ! ;)
29-09-2004, 19:31 door Anoniem
Weer een reden te meer om F-Secure links te laten liggen en een echte AV
oplossing te kiezen. Ik laat in het midden welke, anders krijgen we weer een
discussie over dat onderwerp.
29-09-2004, 19:48 door Anoniem
Door Anoniem
Weer een reden te meer om F-Secure links te laten liggen en een echte AV
oplossing te kiezen. Ik laat in het midden welke, anders krijgen we weer een
discussie over dat onderwerp.

Het meeste anti-virus werkt zo. Dit lijkt me geen reden om F-Secure links te
laten liggen.
29-09-2004, 19:57 door Anoniem
Door Anoniem
Het meeste anti-virus werkt zo. Dit lijkt me geen reden om F-Secure links te
laten liggen.


Juist wel. De betere AV scant alles en dan maakt het niet uit wat de extensie
is.
29-09-2004, 20:37 door Anoniem
gewoon een webshield e1000 machine van Mcafee installeren bij je firewall
en helemaal geen last mee, die scant gewoon al het verkeer dat via FTP,
SMTP, HTTP, POP3 wil binnenkomen. Maar goed dat is alleen weggelegd
voor grotere bedrijfsnetwerken. Maar goed, wanneer je de patches
installeerd en de virusscanner lokaal up to date houd heb je helemaal geen
last van dit soort exploits
30-09-2004, 08:19 door Anoniem
Mcafee heeft toch ook zo zijn eigen probleempjes hoor....

Ieder anti-virus pakket heeft nadelen. Sommige laten je PC hangen of
nemen meer dan 35% van je systemresources in gebruik. JPG extensie
gewoon afvangen in de emailserver, laten ze die fotootjes maar gezipt
opsturen.

Trouwens veel AV-pakketten hebben ook problemen met ZIP files...oeps..
30-09-2004, 13:54 door Anoniem
". Bedrijven moeten dan ook de gateway scannen, dit kost
echter zeer veel bandbreedte."

Volgens mij kost dit geen extra bandbreedte, maar louter
processorkracht
(gelukkig heb ik hier nog een aantal smp/mips systemen
liggen ;-)
30-09-2004, 15:09 door Anoniem
Door Anoniem
Mcafee heeft toch ook zo zijn eigen probleempjes hoor....

Ieder anti-virus pakket heeft nadelen. Sommige laten je PC hangen of
nemen meer dan 35% van je systemresources in gebruik. JPG extensie
gewoon afvangen in de emailserver, laten ze die fotootjes maar gezipt
opsturen.

Trouwens veel AV-pakketten hebben ook problemen met ZIP files...oeps..

Je hebt het niet goed begrepen, een JPEG bestand hoeft niet noodzakelijk
een JPG extensie te hebben. Als je alles behalve ZIP bestanden blokkeert
laat je wel alle (nieuwe) virussen toe die zich in ZIP files versturen. Het komt
tegenwoordig veel vaker voor dat een virus in een ZIP file zit, dan andersom.
01-10-2004, 09:10 door Anoniem
Door Anoniem
Sorry hoor, maar dit vind ik niet echt boeiend. Er is al een
patch voor, dus je kunt het virus simpel tegengaan...

Welk KB is het
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.