Pirms nedēļas kļuva zināms par Microsoft JPEG GDI+ grafiskās bibliotēkas ievainojamību. Par to rakstīja arī vietējie – hackers.lv un datuve.lv. Es šo ziņu noignorēju, jo uzskatīju to par salīdzinoši nenopietnu tā kā šī ievainojamība skar tikai Windows XP bez otrās servisa pakas kā arī citu specifisku Microsoft programmatūru kurā tiek izmantota šī bibliotēka. Izrādījās, ka šī pati ievainojamība pirms dažiem gadiem bija atrasta arī vecajā Netscape 4.x versijā, kur tā tika salāpīta.
Izdomāju notestēt Microsoft piedāvāto skaneri, kas noteiktu vai lietotāja sistēma ir ievainojama, bet kāds man bija aplauziens, ka vienīgais, ko šis skaneris spēja izdarīt bija pateikt, ka ir ievainojama, lai gan uz Windows 2000 neatjaunotā IE5.x tas (exploits) nedarbojās. Pieļauju domu, ka uz tās sistēmas bija kāda Office programma, kas izmanto šo ievainojamo GDI+ bibliotēku, vienkārši IE to neizmantoja.
Vakar tīklā parādījās jauns skaneris GDIScan 5KiB, nu jau no alternatīviem drošības speciālistiem. Notestēju un rezultātā šis skaneris neko neatrada.
Izmēģināju otru exploitu un ēzelītis vienā mierā nokārās. Lai gan būtu interesanti apskatīties uz rezultātiem, ko tas parādītu, ja atrastu kādu ievainojamu bibliotēku.
Bet visu šo te es rakstu tāpēc, ka tīklā ir parādījies jau nopietnāks eksploits ar kura palīdzību uz Windows XP SP1 sistēmas var izveidot lietotāju ar administratora tiesībām. Lūk tas jau ir nopietni.
Microsoft speciālisti ir sagatavojuši speciālu lapu ar skaidrojumiem kā pareizi “lāpīties”.
Kad atrod tad tas izskatās šādi:
man tikai distributiivos atradu vulnerablus failus…
ie6 uz sweet.jpg spraagst (tad nesalapita ie6 lietosana teoretiski draud ar nepatiksanam)
firefox uz sweet.jpg nespraagst (tad firefox lietosana nedraud ar nepatiksanam)
tatad jalieto firefox. ko ari daru
coolynx, kaut kā nesaprotu Tevi. Kāpēc Tu iedomājies, ka tas nav nopietni? Jau pašos pirmajos Advisories un Proof-of-Concept bija skaidri un gaiši paskaidrots / piemēri, ka var izpildīt ShellCode; Ja var izpildīt shellcode, tad var izpildīt *jebko* – pat Tavu minēto piemēru ar Administratora izveidi; Kaut kā vīlos, ka pods.lv nereaģēja laicīgāk…
Ak, jā un Microsoft šoreiz ir ļoti labi sagatavojies (protams, ja neskaita gadu veco Proof-Of-Concept kodu sakarā ar Netscape). Uz XP2 ielāps jau bija kādu mēnesi atpakaļ (citā sakarā, bet novērsa arī šo bugu), bet uz pārējiem jau 14. septembrī.
Scanning…
C:Program FilesAutoCAD 2004gdiplus.dll
Version: 5.1.3097.0 <– Vulnerable version
C:Program FilesCommon FilesMicrosoft SharedOffice10MSO.DLL
Version: 10.0.3501.0 <– Vulnerable version
C:Program FilesGlobal GraphicsJaws PDF Editorgdiplus.dll
Version: 5.1.3100.0 <– Vulnerable version
C:Program FilesMicrosoft OfficeVisio10gdiplus.dll
Version: 5.1.3099.0 <– Vulnerable version
C:WINNTDownloaded Program Filesgdiplus.dll
Version: 5.1.3097.0 <– Vulnerable version
Scan Complete.
Scanning…
C:Program FilesCommon FilesMicrosoft SharedOFFICE11MSO.DLL
Version: 11.0.5606.0
C:Program FilesMacromediaDreamweaver MX 2004gdiplus.dll
Version: 5.1.3097.0 <– Vulnerable version
C:Program FilesMicrosoft OfficeOFFICE11GDIPLUS.DLL
Version: 6.0.3260.0 <– Vulnerable version
C:Program FilesMicrosoft WorksGDIPLUS.DLL
Version: 5.1.3102.1229 <– Vulnerable version
C:Program FilesuICEgdiplus.dll
Version: 5.1.3097.0 <– Vulnerable version
C:WINDOWS$NtServicePackUninstall$sxs.dll
Version: 5.1.2600.1106 <– Vulnerable version
C:WINDOWSServicePackFilesi386 sxs.dll
Version: 5.1.2600.2180
C:WINDOWSsystem32gdiplus .dll
Version: 5.1.3102.2180
C:WINDOWSsystem32sxs.dll
Version: 5.1.2600.2180
C:WINDOWSWinSxSInstallTe mp2082049GdiPlus.dll
Version: 5.1.3102.2180
C:WINDOWSWinSxSx86_Micro soft.Windows.GdiPlus_6595b64144ccf1df_1.0.0 _x-ww_8d353f13GdiPlus.dll
Version: 5.1.3097.0 <– Vulnerable version
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144cc f1df_1.0.10.0_x-ww_712befd8GdiPlus.dll
Version: 5.1.3101.0 <– Vulnerable version
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2055_x-ww_51ae8f49GdiPlus.dll
Version: 5.1.3102.2055 <– Unknown version, possibly vulnerable
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2142_x -ww_522b9e88GdiPlus.dll
Version: 5.1.3102.2142 <– Unknown version, possibly vulnerable
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2144_x-ww_522b9e8aGdiPlus.dll
Version: 5.1.3102.2144 <– Unknown version, possibly vulnerable
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2149_x -ww_522b9e8fGdiPlus.dll
Version: 5.1.3102.2149 <– Unknown version, possibly vulnerable
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2162_x-ww_522d9f06GdiPlus.dll
Version: 5.1.3102.2162 <– Unknown version, possibly vulnerable
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x -ww_522f9f82GdiPlus.dll
Version: 5.1.3102.2180
Scan Complete.
Mēraties kuram garāks vai kā ?
Kuram īsāks…:)
taadus sist…
Jau sen iekš viena saita bija piedāvāts aplūrēt vienu lietu, un ja tavs PC nokaras značit jāliek pač takš to šitas ir to old..
Ja inetresē saits tad reku jau bija 16.septembrī: http://www.netsec.lv/forums/index.php?showtop …
Btw, aizejot ar IE5 (uz w2ksp4 ar visiem pēdējiem ielāpiem) uz http://www.vid.lv un paklikšķinot, teiksim uz veidlapas, tad mēģinot paņemt kādu veidlapu, ēzelītis smuki nogāžas. Arī droši vien var kādu exploitu uzcept. Nez ar IE6 arī gāžas? Nav man te neviena IE6 tuvumā, kur pamēģināt.
to /dev/null nez kaa ar IE6 bet Operai viens piipis….! 8))
DreamWeaver MX 2004 (ar visu update 1) un FireWorks MX 2004 arī ir vulnerable 🙁
Šitos nevar izlabot pārkopējot bīstamajiem GDIplus.dll pa virsu MS salaboto?
Mosh shitas vainiigs pie taa ka man IE galiigi matos aizgaajis ?
to /dev/null nez kaa ar IE6 bet Operai viens piipis….! 8))
atbalstu 🙂
Vls: firefoxim arī viens pīpis, kurš userim arī tika uzinstalēts 🙂
Scanning…
C:Program FilesCommon FilesMicrosoft SharedOffice10MSO.DLL
Version: 10.0.2625.0 <– Vulnerable version
C:WINDOWSsystem32dllcachesxs.dll
Version: 5.1.2600.0 <– Vulnerable version
C:WINDOWSsystem32sxs.dll
Version: 5.1.2600.0 <– Vulnerable version
C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0_x-ww_8d353f13GdiPlus.dll
Version: 5.1.3097.0 <– Vulnerable version
Scan Complete.
WARNING!
When this picture is viewed it installs remote management software (winvnc and radmin) and will connect to irc.
First JPEG Virus Posted To Usenet
http://it.slashdot.org/it/04/09/27/2319222.sh …
—– Original Message —–
From: Valdis Shkesters
To: news@antivirus.lv
Sent: Monday, September 27, 2004 5:47 PM
Subject: New version of Windows JPEG GDI+ exploit
Šodien Internetā parādījusies vēl viena jauna versija kodam,
ar kura palīdzību var tikt izmantota nesen atklātā ievainojamība
dažādos Microsoft produktos JPEG attēlu failu apstrādē.
Jaunais hakeru instruments JpegOfDeath.M.c v0.6.a All in one
ļauj pievienot JPEG attēlu failiem četras dažādas funkcijas, ar kuru palīdzību iespējams iegūt attālinātu kontroli pār svešām datorsistēmām.
Tās var būt par pamatu arī jaunu datorvīrusu radīšanai jau tuvākajā laikā.
Atgādināsim, ka notikumi pirms dažām pēdējām datorvīrusu epidēmijām attīstījās pēc līdzīga scenārija. Tāpēc datoru lietotājiem ļoti rekomendējas uzstādīt atbilstošos Microsoft programmatūras atjauninājumus MS04-028.
Ar cieņu,
Datoru Drošības Tehnoloģijas
www.antivirus.lv
Nuja, kā tad, uzlieciet apdeitu un viss būs kārtībā…
Uzliku to "Windows XP hotfix – KB833987", bet uz sweet.jpg tāpat "pi@#$c osļiku". Ko nu???
Labi, ikdienā tāpat FF lietoju, bet ja nu tomēr gadās ar IE ielīst kur nevajag…