Angreifer nutzen "JPEG-of-Death" fĂĽr Backdoor
Es gibt bereits erste Versuche, die JPEG-Sicherheitslücke unter Windows für Angriffe zu missbrauchen: Ein neuer Exploit öffnet eine Backdoor auf infizierten Systemen.
Einer Meldung auf Bugtraq zufolge gibt es bereits erste Versuche, die JPEG-Sicherheitslücke unter Windows für Angriffe auszunutzen. In mehreren Newsgroups hat ein Unbekannter präparierte Bilder gepostet, die den JPEG-of-Death-Exploit in sich tragen. Anders als die vorangegangenen Exploits ist dieser in der Lage, auf einem Netzwerk-Port eine Shell (cmd.exe) respektive Hintertür zu öffnen, mit der der Zugriff auf den PC über das Netzwerk möglich ist. Prinzipiell fehlt dem Exploit in der Evolution zum Wurm nur noch eine Stufe: eine eigene SMTP-Engine, um sich in Mails als Bildanhang zu versenden.
Die meisten Hersteller von Antivirensoftware haben Signaturen entwickelt, mit der die Viren-Scanner bösartige Bilder erkennen, die den Exploit in sich tragen. Einige Scanner schlagen auch bei den Demo-Bildern Alarm, die Applikationen nur zum Absturz bringen. Die bekannt gewordene zweite Lücke bei der Verarbeitung von JPEG-Bildern auf voll gepatchten System ist mittlerweile analysiert. Sie führt nur zum Absturz und kann nicht zum Einschleusen von Code ausgenutzt werden. Microsoft ist dieser weitere Fehler wohl schon seit längerem bekannt, er soll aber erst mit Service Pack 3 für Windows XP und Service Pack 5 für Windows 2000 beseitigt werden.
Anwender sollten darauf achten, dass ihr Virenscanner alle Dateien auf dem System untersucht. In einigen Produkten sind Erweiterungen von der Überprüfung ausgenommen, unter anderem auch .jpg. Selbst wenn .jpg explizit angegeben ist, muss das keinen hundertprozentigen Schutz bieten, da ein präpariertes Bild ja auch die gültige Endung .jpeg tragen kann. Zudem ignorieren viele Anwendungen die Endung und öffnen ein Bild auch dann als JPEG, wenn es beispielsweise bild.gix heisst. Anwender sollten schleunigst die von Microsoft bereitgestellten Patches installieren, sofern sie das noch nicht getan haben.
Siehe dazu auch: (dab)
- GDI Virus in the wild auf Bugtraq
- Sicherheitsupdate fĂĽr die JPEG-Verarbeitung (GDI+) von Microsoft
- JPEG-Exploits per Mausklick fĂĽr jedermann
- Erste Exploits nutzen JPEG-SicherheitslĂĽcke in Windows aus
- Erste präparierte JPEG-Bilder zur Windows-Sicherheitslücke im Umlauf
- Microsoft stopft schwerwiegende LĂĽcke in JPEG-Bildverarbeitung