hebben Firefox gebruikers hier ook last van?

pfff erg oud nieuws

09.27.2004 : Windows JPEG GDI+ All in One Remote Exploit (MS04-028)

JPG.c file zal wel een geript ding zijn ofzo van deze
Zo bijzonder vind ik deze lek niet trouwens, je moet zelf de lek maken door
zo'n jpg ding te generen en iemand het laten openen
rootzooi dus....

Dump een paar van die plaatjes in porno newsgroups en na een
tijdje heb je waarschijnlijk een mooi DDoS botnet waarmee je
sites van willekeurige overheden plat kan gooien...

Op 09 oktober 2004 12:56 schreef Anoniem:
> hebben Firefox gebruikers hier ook last van?

Voor zover ik weet niet direct. Wel als je een gemanipuleerd plaatje
saved op je schijf en je daarna met de XP verkenner de map opent met
dat plaatje er in, dan kan, als ik het goed begrepen heb, de preview
daarvan de exploit triggeren - tenzij je je systeem goed gepatched hebt.

Overigens hoeft het trojan plaatje niet de extensie .jpg of .jpeg te hebben;
als deze bijv. een .gif extensie heeft, herkent Windows aan de inhoud
dat het om jpeg gaat.

Omdat er nogal wat DLL's op je systeem voor kunnen komen met
de buggy code er in, bestaat MS04-028 feitelijk uit meedere patches.
Zie http://www.microsoft.com/security/bulletins/200409_jpeg.mspx
Probleem is dat WindowsUpdate ze soms niet altijd allemaal vindt.

Op http://isc.sans.org/gdiscan.php kun je gratis tools downloaden die
checken of alle DLL's gepatched zijn. Oudere Windows versies kunnen
nog een potentieel vulnerable vgx.dll hebben (onderdeel van IE6 SP1);
hoewel niet op de webpage genoemd, vinden de Sans tools deze ook.

De GUI version gebruikt RTF in z'n output window; oudere Windows
versies laten dit als platte tekst zien. Om deze leesbaar te maken:
druk de Clipboard knop en plak de inhoud in je favoriete editor. Sla het
resultaat op als scan.txt, en verander daarna in verkenner de extensie
".txt" in ".rtf". Dubbel-klik daarna de file zodat deze in Word of Wordpad
wordt geopend, dan is hij wel goed leesbaar. De commandline scanner
kent dit probleem niet, die schrijft gewoon een ASCII logfile.

Erik van Straten

Alle API's en applicaties die gebruik maken van de standaard Windows GDI
libraries hebben hier last van, want dit is een GDI+ library exploit.. Kortom
bijna alle programma's die met de MFC's (Microsofts Foundation Classes)
zijn geschreven.
Dit is teven ook de reden waarom iedereen zo druk in de weer is geweest
met het in het praktijk brengen van deze explot, sinds de theorie een 1,5
maand geleden bekend werd gemaakt door MS.

edgecrush3r

----------
en hoe moet iemand doe dit nit weet deze val omzeile ?
dat durf je niet te vertelle zekers

maar dat geeft niet, prutsers zoals jij zeggen wel vaker wat
en er komt nooit iets van

----------
en hoe moet iemand doen dit niet weet deze val omzeile ?
dat durf je niet te vertelle zekers

maar dat geeft niet, prutsers zoals jij zeggen wel vaker wat
en er komt nooit iets van

draadloos hacken is de nieuwe tijdperk wees voorbereid were back.

Wel als ze IE gebruiken op jpg's te bekijken ;-P
Nee dus, dit is een IE bug.

Is er al voorbeeldcode beschikbaar hoe je dit soort jpegs kan herkennen?
(dus niet de dll maar 'geinfecteerde' jpegs)

quote:
--------------------------------------------------------------------------------
Door Anoniem
hebben Firefox gebruikers hier ook last van?
--------------------------------------------------------------------------------

Firefox is gebruikt de Gecko Engine voor zowel de renderization van text
markup als binair embedded plaatjes. Firefox is aldus independend van
de GDIPLUS.library... MSN schijnt echter een ander verhaal te zijn.

edgecrush3r