Eigentlich hab ich ja besseres zu tun, aber ich kann mich angesichts soviel Schwachsinn und unreflektierter Verharmlosung einfach nicht zurückhalten.
Wissen die Herren Sysadmins hier eigentlichnoch was sie schreiben? Wenn ihr euren Job genauso relaxt angeht, dann wundert es mich nicht, daß auf unsere Firewalls immer noch Pakete diverser Exploits und Würmer einschlagen.
Die Lücke in der ASN.1 Bibliothek ist gerade auf dem besten Weg der zweite Blaster zu werden, also wohl alles andere als Panikmache, jetzt aber der Hammer, versteht ihr eigentlich, was die gefundene Lücke in win2k/private/inet/mshtml/src/site/download/imgbmp.cxx bedeutet? Anscheinend nicht, deshalb hier eine kurze Erklärung an alle, die bei einer Warnung zu mehr Vorsicht nicht gleich von Panikmache schreien:
In dieser Systembibiliothek, welche sowohl in Windows98/ME, als auch in NT/2000/XP enthalten ist wurde eine wirklich schlampige Lücke entdeckt. Ein Pointeroffset vom Typ int wird ungeprüft mit einem unsigned Wert überschrieben, wodurch ein negativer Pointer entstehen kann und somit der Stack mit eigenem Programmcode gefüttert werden kann. Für alle, die die Originalmeldung in der renomierten Sicherheitsmailingliste interessiert:
http://lists.netsys.com/pipermail/full-disclosure/2004-February/017364.html
Was bedeutet dies nun? Es bedeutet eine neue Ära der Gefahr. Bisher war lokaler Schadcode fast immer davon abhängig in ausführbarer Form vorzuliegen um Schaden anrichten zu können. Seien es EXE-Dateien, COM-Dateien, Bildschirmschoner, PIF-Dateien, etc. Reine Daten wie Bilder, Textdateien, Soundfiles galten bisher als ungefährlich.
Dies ist nun vorbei. Potentiell kann jedes Bild nun Schadcode in ausführbarer Form enthalten, der durch diese Lücke mit Systemrechten ablaufen kann. Ein Umstand, der wohl jedem Viren- und Wurmautor das Leben erleichtert.
Aber warum ALLE Bilddateien? Ganz einfach, die entsprechenden Routinen bearbeiten nicht nur Dateien mit der Endung BMP entsprechend, sondern alle Dateien, die anhand ihrer Headerbits als BMP identifiziert werden können, auch JPEG, GIF, PNG, wodurch ein Filtern sehr erschwert wird. Wenn man sich jetzt anschaut wo überall Grafiken vorkommen und dies mit den Gefahren abwägt und dies als harmlos abtut finde ich das eher blauäugig als besonnen, zumal schon der Beispielexploit in der Mailingliste selbst die Systeme mehrerer Mailinglistenteilnehmer abstürzen lies, ohne daß er speziell ausgeklügelt war. Und die Teilnehmer dieser Mailingliste sind echte Fachleute mit Ahnung der Materie!
PS: Der Umstand, daß jedes andere Betriebssystem auch Lücken hat ist absolut unerheblich, das tröstet nämlich niemanden, dessen System korrumpiert wurde und hält auch nicht die Exploits vom wirken ab.
Ein kopfschüttelnder Xafford
Thomas139
the_mic
xafford
Olaf19
