» »

Windows švicarski sir z luknjo GDI32

Windows švicarski sir z luknjo GDI32

SANS Institute - Luknja, da not padeš... Internetu zopet preti nevarnost rumene stopnje.

Kmalu po javnem razkritju napak v bralniku WMF datotek je objavljen izboljšan program, ki izkorišča varnostno luknjo v GDI32 knjižnici. Microsoft še ni popolnoma odločen, ali bo zdravilo vključil v naslednjo serijo popravkov ali ga bo ponudil že predčasno.

Ilfak Guilfanov je razvil neuraden (vendar delujoč) popravek, ki za razliko od "uradno priporočene začasne rešitve" ne zmanjša uporabnosti sistema. Ilfak Guilfanov je glavni razvijalec IDA Pro disassembler-ja in svetovna eminenca nizkonivojskega programiranja za okolje Windows, zato svetujejo namestitev njegovega popravka tudi pri F-Secure in SANS.

Srečno novo leto tudi vam ...

53 komentarjev

«
1
2

W3by ::

Ajej še za novo leto nas ne pustijo na miru s temi luknjami. :\ 8-O

Aja sreč'nga pa zdrav'ga folk!

Defender_X ::

Srečnega pa zdravega ljudje

BigWhale ::

Offtopic ste s tem srecnim pa zdravim. Windows so zacel kar bolano tole leto... ;>

B-D_ ::

Maš ful jebe, manjšaš uporabnost winsov z disejblanjem dllov in drugimi ukrepi, jadijadijadi... sam zato da lahk uporabljaš en shit kot je IE... is it Really worth it? :D

Jaka83 ::

Dost lažje odklikaš na www.mozilla.org in začneš uporabljat BRSKALNIK.

Evil mind ::

Jaz se strinjam s tistimi, ki pravijo da so windowsi za nič in da je IE zanič. Ker linuxi so zastonj in še manj napak imajo.
Drugače pa srečno in zdravo leto 2006!

kriko1 ::

A kar tukaj si bomo čestitali? No,

Srečnega in zdravga v 2k6.

Drugače pa za M$ ni lih srečno se začelo...

Jaffa ::

Sej če je novica stara en dan, je ta bug še od lani. >:D
www.markosoft.si | www.markoshop.si
GRYPHON Z87|i7-4770k@4200MHz|16GB VENGEANCE 1866MHz
2x SAMSUNG 850PRO 256GB|GTX960|LIAN LI|BENQ BL3201PT 4K

balocom ::

Srečenga pa zdravga, pa čim več uporabe ne-ljauknastih os in programov vam želim.
V svetu brez googla bi bil najbolj uporabljen ukaz v bash-u ukaz man

nsane ::

Srečnega pa zdravga:D :D

darkolord ::

in še manj napak imajo

a se gremo kregat? :D :D

DJ MartiNi ::

Ja lubi mikrosoft, ampak so pa rejs eni invalidi. Še z lansko lukno se ukvarjamo. k da nej enu lejtu dost za odpravitev le-te :D >:D
1:Phenom II X3 720BE/ASRock 970M Pro3/2x8GB G.Skill Aegis/Radeon HD2600XT
2:Athlon X2 BE-2300/Foxconn A7DA-S/2x2GB A-Data PC2-6400/Radeon HD3300

hruske ::

Zakaj nekdo ne naredi exploita, ki ti avtomatsko zaflika lukno z unim patchem v novici?
Rad imam tole državico. <3

Microsoft ::

Kako foro sem spet zdele vidu.

Itak, pridem kle gor in nic novega. Se kar naprej mi iz vseh koncev in krajev hocejo dopovedovad na miljon in en nacin, kako je Linuksi brez lukenj, po drugi strani jih ma Windows na miljone.

Sam pol sem cisto zacuden, ko gres malo na objektivne strani, ki prikazujejo dejstva; Windows je mel v primerjavi z Linuksi/Uniksi 3x manj lukenj v preteklem letu. Da crknes od smeha.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

iggy ::

Da crknes od smeha. Linuxa nisem plačov PA nisem imel takih exploitov, ki jih je mev v preteklih 2 mesecih windows.

@Microsoft: Če bi se rd Flejmov(tm) - Im on!
Hey, you're fat!

Zgodovina sprememb…

  • spremenila: iggy ()

pikachu004 ::

še za novo leto nimate mira :D
srečno

nicjasno ::

Samo moras vedet, da se pri microsoftu se vedno krpa jedro ki je bilo narejeno leta 2002. Linux pa je medtem menjal ze precej jeder....
www.nicjasno.com | www.vsejasno.com

Zgodovina sprememb…

  • spremenil: nicjasno ()

HardwareMaster ::

Eh sej je brez veze, kar koli reces te nalaja folk ko psa. Tisockrat ze povedano, da ce bi se linux uporabljal v tako veliki kolici kot se windows, da bi imeu tud linux svasta pizdarij. Tko da nehite jokat pa stokat, ker napake se pojavijo v vsaki stvari, pa ce je se tako preprosta in banalna.
Ko pa ze pizdite neki cez windows, za enega nedeljskega racunalnikarja je windows 100 krat bolj primeren kot pa linux, pac je velik bolj user frendly ko pa linux. Tko je in tko bo se dolg ocitno.

Zdej pa nehite piskat pa dejte vsaj za novo leto mal mir.
°°°°°°°°°°°° AMD Ruls

veteran ::

> Sam pol sem cisto zacuden, ko gres malo na objektivne strani, ki prikazujejo dejstva; Windows je mel v primerjavi z Linuksi/Uniksi 3x manj lukenj v preteklem letu.

Hehe, tole začudenje je najbrž posledica uživanja refoška ali kakšne podobne zdravilne pijače. >:D

Tukaj si oglej število lukenj v IE in Firefoxu. Tkole je:

Microsoft Internet Explorer 6.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Highly critical
Currently, 21 out of 91 Secunia advisories, are marked as "Unpatched" in the Secunia database.


Mozilla Firefox 1.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical
Currently, 3 out of 26 Secunia advisories, are marked as "Unpatched" in the Secunia database.


Najbrž ni treba posebej omenjati, da lahko v Linux-u uporabljaš tudi Konqueror, ki ima še manj lukenj kot firefox. Pa veselo flikanje lukenj v letu 2006! :D

NoOrdinary ::

Nisem vedu da je velik krog uporabnikov po tanovem izgovor za slabo programiranje. HardwareMaster a sta to z atijem skup stuhtala kako bi blo v linuxu ko sta skup mal poklikala al si se čist sam spomnu?
brez ideje sem za podpis

jlpktnst ::

Browsing the web was not safe anymore, regardless of the browser. Microsoft will certainly come up with a thouroughly tested fix for it in the future, but meanwhile I developed a temporary fix - I badly needed it.
-
Iz linka na fix.

Napaka je v gdi32.dll ki ga uporablja verjetno tudi kaj drugega kot pa samo ie.

darkolord ::

"Slabo programiranje"

Sami smartassi

opeter ::

Ne se pritoževat! Vsak uporablja kar mora oz. ima na voljo.

Sam pri delu uporabljam Mac-a in PC-ja (Windows), ker moram ves čas testirati zadeve, če res delujejo pod Win in Mac (aja, za vse zainteresinare: podLinuxom ne testiram). Sicer imam Ubuntu-ja naloženo pod VMWare, a to je tudi vse. Ne vidim nobene prednosti Linux-a pred ostalimi OS-i. Dokler za Linux-a ne bo dovolj komercialnih programov (pač takšnih ki se vseprek uporabljajo), tudi uspeha uporabnosti in razmaha Linuxa ni treba pričakovati. In tako bo še zelooooo dolgoooooo. Zato komaj čakam prve PowerMac-e z Intelom. :D

Ne glede na večno kreganje:
Veselo, srečno in zdravo novo leto želim vsem Slo-Techarjem. :))
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

sverde21 ::

Samo moras vedet, da se pri microsoftu se vedno krpa jedro ki je bilo narejeno leta 2002. Linux pa je medtem menjal ze precej jeder....


Em XP ji so uradno izšli 4. septembra 2001 (ne me držat za besedo glede dneva :) ) tak d je jedro še mal starejše :|

@Microsoft: a ti sam tiste številke pogledaš... morš gledat resnost exploita tud... glih sm gledu d je spt nek local exploiz za linux (za verzjo kernela izpred 1,5 leta :P ) ampak kaj ti local exploit nuca, nič ker morš glih do računalnika prit pa ga ponucat... ta WMF exploit je pa remote, se prav ga lahk ponucam, tak d ga sam na eno web stran dam :P ampak oba exploita sta pri tebi enako vredna...

Aja pa še neki... jst se ne spomnem de bi kdaj zrd kakiga linux exploita net prešaltal na "yellow". :\
<?php echo `w`; ?>

thezerox ::

Pri nekaterih novicah me moti predvsem to, da stvar ni zajeta profesionalno, objektivno. Prav zaradi tega se potem razvijejo flejmi, ki sploh niso bistvo novice. Zato naj pri prenovi portala glavni ljudje slo-techa premislijo tudi glede nadaljnje "novinarske" politike, se posebej glede tistih novic, ki se MS-a ticejo. To trdim kot uporabnik, ki pri svojem delu 90% uporablja Linux. Da ne bo pomote, po osebnem mnenju je slo-tech odlicen portal.

Glede nedeljskih racunalnicarjev: trditev je relativna. Ce je nedeljski racunalnicar uporabnik, ki surfa po netu, bere novice, napise kak mejl, irca ali chata z IM, potem je za tako delo primeren tudi linux, pogoj je, da je distribucija userfrendli. Seveda, za tistega, ki ga ne vlece, da bi te stvari preizkusil na linux, linux ni primeren.

RejZoR ::

Res grozen problem. Daš da se WMF fajli privzeto odpirajo v Notepadu (roko na srce, kolk strani dejansko uporablja tovrstne fajle v legitimne namene?).
Case closed dokler MS ne izdela uradnega popravka.
Angry Sheep Blog @ www.rejzor.com

W3by ::

Res grozen problem. Daš da se WMF fajli privzeto odpirajo v Notepadu (roko na srce, kolk strani dejansko uporablja tovrstne fajle v legitimne namene?).
Case closed dokler MS ne izdela uradnega popravka.


Sej največja finta je, da tole deluje tudi z jpg sliko.

"When the HappyNewYear.jpg hits the hard drive and is accessed (file opened, folder viewed, file indexed by Google Desktop), it executes and downloads a Bifrose backdoor (detected by us as Backdoor.Win32.Bifrose.kt) from www[dot]ritztours.com."

denial ::

Ko odpovejo AV programi, ko odpovejo firewalli, ko odpovejo AV razvijalci, ko odpove Microsoft, ko se lažen občutek varnosti razblini ... takrat daš, da se WMF fajli privzeto odpirajo v Notepadu, da se se JPG fajli privzeto odpirajo v Notepadu, da se [insert here] fajli privzeto odpirajo v Notepadu ... Who gives a fsck about degraded functionality. Če se to ne deluje izklopiš vtičnik iz električne napeljave for the final solution...

jsmith ::

Microsoft Slovenija je za uporabnike pripravil posebno telefonsko številko - (01) 5 484 100.

Na tej številki vam je 24 ur na dan na voljo brezplačna podpora v zvezi z virusi in drugimi varnostnimi težavami.

mspiller ::

Sam pol sem cisto zacuden, ko gres malo na objektivne strani, ki prikazujejo dejstva; Windows je mel v primerjavi z Linuksi/Uniksi 3x manj lukenj v preteklem letu. Da crknes od smeha.

Link?

Sicer pa. Vsi produkti imajo security buge. Eni vec eni manj. Glavno da so popravljeni cimprej in vse. Samo ce gledam od Windows XP, pa od IEja ... bl zalostno zgleda men to ... xp pro 23% nepopravljenih, IE pa celo 28% ... (vir: Secunia)

Medtem ko pa ima recimo fedora 3, od 200 security napak vse popravljene. Ali pa fedora 4. Ali pa Mandrake. To se pravi lahko zastonj projekt popravi vse (ali pa skoraj vse) security buge (ki jih je recimo ce zaupamo Jimiju celo 3x vec), medtem ko podjetje z milijoni pa ne more popraviti 3x manj security bugov. Mislm totalno pateticno in komicno hkrati.

Drugace pa kot programer vsekakor ne bom svojega znanja vezal na samo en OS. Ce ne drugega tudi MS spremlja konkurenco.

roscha ::

Mali mehki, nehaj se repenčit tle gor pa raje tvoji preljubi firmi pomagaj blesavi bug popravit. Že par dni pa nič od njih/vas. In za takle sekret od OSa naj človek še plača?


Glede Linux/M$ bugov. So v M$ buge všteti tudi tisti od aplikacij? (Adobe Photoshop, Bsplayer, karkoli pač...) Ker jebi ga, pri Linux-u so. Evo Debian ima v testing veji okrog 1500 paketov (= približno toliko programov) pa okrog 460 bug-ov, ki morajo biti odpravljeni preden veja postane stable.

No pa zdaj začnimo delat primerjave.... Sploh pa da ne omenim da so pri Linux-u popravki dostopni v roku nekaj minut do nekaj ur, M$ pa ne more spacat nekaj paetnega v par dneh. Katastrofa od firme, nekateri nedonošenčki pa to še podpirate. :\

M.B. ::

Mislim da Microsoft govori o tem linku. Ki pravi, da ima Windows 812 varnostnih lukenj. Linux/Unix/BSD/Mac pa 2,328. Seveda so skupaj šteti vsi duplikati in pri različnih distribucijah ista varnostna lunkja. Je pa seveda zelo "objektivno".
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

mspiller ::

Upam da Jimi ne govori o tem linku. Enostavno si nism mogu predstavljat da bi se opiral na taksno neumnost se posebej z ocitnim veckratnim stetjem istega buga 8-O8-O 8-O . Poleg tega je tukaj misljen kompleten Windows software vs kompleten Linux/Unix & co software. To se pravi 1 sistem z x aplikacijami proti n sistemou z x aplikacijami 8-O. Ceprav po drugi strani pa me zanima varnost sistema kot celota. Ce sem se opredelil na linux pri tem linku in sem odstel razne AIX, HP-UX, MacOS, in ostale druge OS specific security buge sem zlo hitro zbil tisto drugo stevilko (prvi komentar na slashdotu) na raven Windowsa. V glavnem oba OSa sta uporabna za ene stvari bolj za druge manj.

MrStein ::

Hmm, še vedno ni fixa.
A ni neka raziskava "ugotovila" , da za Windows popravki hitreje pridejo kot za linux ???

Zdaj je že četrti dan (če ne več).


Ah ja, one "objektivne strani" je Jimi po moje omenil kot zajebancija, v smislu : "ha ha , glej te bedake, zdaj bodo celi dan probali najti te strani, budale ene..."
Ne zgubljat časa s tem.


Teorija zarote: MS je tiho, da se stvar razširi in postane res huda, da ljudje "sprevidijo", da nujno rabijo "boljši windows" : Vista (+ trusted computing čipi).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

veteran ::

BTW, zanimivo je, da so WMF luknjo flikali že novembra, a so očitno bolj slabo opravili delo - zadeva namreč še vedno hudo pušča. ;)

#000000 ::

WHO IS VULNERABLE?
The exploit affects Firefox, Internet Explorer, and any other browser that displayes or downloads the file into the cache on the local machine. The file could also be a WMF renamed to any other image type, or possible other filetypes. Anything that puts the image exploit onto your computer or opens it up in windows fax viewer or the part of windows that generates thumbnails of WMF files is a vulnerability. This means any vector that puts the image onto your computer (wget, browser, email, IM, etc) can potentially cause the problem.

LINK

Zgleda da noben brskalnik ni odporen na tole 'vsaj kokr sm jest zastopu' se prav opera in slike izklopit dokler ne porihtajo zadeve, al kaj ?

kriko1 ::

Danes med brskanjem se mi je pojavlo okno:
File xxxxx.wmf
Size: xxx
Opens with kmfclient
Open / Save / Cancel
(neki podobnega), torej opera ni direktno odprla te datoteke. Če gre pa v cache, je vseeno nevarnost efektivne okužbe - če slučajno odjadraš z raziskovalcem v cache od opere kjer je not slika. Naj kdo prova, potem poroča- >:D

denial ::

This shit is huge... check your systems!

http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html

Uradno priporočen workaround (regsvr32 /u shimgvw.dll) je useless...

B-D_ ::

Je pa zato gor programček ki poflika luknjo... sicer ne garantira da je poflikal bolje kot ms pred par meseci, pa vseeno bolje neki kot nič.

BigWhale ::

*waves hand* This is not a bug....

;>

veteran ::

> Če gre pa v cache, je vseeno nevarnost efektivne okužbe - če slučajno odjadraš z raziskovalcem v cache od opere kjer je not slika.

Pri firefoxu lahko mirno gledaš cache v raziskovalcu (čeprav ne vidim razloga, zakaj bi to kdo počel, huh?), pa ne bo nič, tudi če nastaviš Pogled na slike, nobene ne prikaže, ker datoteke nimajo ustreznih pripon (.wmf, .jpg).

Nevarno je lahko le:
- če bo kdo downloadal .wmf šaro oz. shranjeval na disk
- in če nima antivirusa
- in če je tako brihten, da ves čas poganja Windows v administratorskem accountu

Ja, navadni Windows userji bodo spet najebali. ;)

denial ::

AV test 2.1.2006 ob 14.00h:

VirusScan Jotti test
VirusTotal test

Nekateri AV razvijalci so lahko medtem že posodobili bazo definicij...

Zgodovina sprememb…

  • spremenil: denial ()

hanibal ::

Mogoče to ni pravi kraj za to ampak vendarle. Poskusit ni greh :\
Kot eno od začasnih rešitev na US-CERT predlagajo blokiranje WMF oz. vseh datotek, ki bi jih Windoze utegnil, vpogledom v zaglavje datotek, prepoznat kot Windows Metafile, že na vstopu v lokalno omrežje.
Nimam pojma kako bi na uporaben oz. dovolj hiter način, testiral headerje WMF datotek, ki se začnejo na 01 00 09 00 ... 02 00 09 00 ... D7 CD C6 9A ...
Najboljši približek uporabnem filtru je po moje to, da na http posredniku prepovem
mp3 asx wma wmv avi mpeg mpg qt ram rm iso wav wmf
in na poštnem strežniku
mp3 asx wma wmv avi mpeg mpg qt ram rm iso wav wmf png jpg gif tif.
A kdo ve, če Windoze preverjajo headerje datotek s samo določenimi končnicami ali z vsemi končnicami?
A ma kdo od administratorjev kak predlog ali mnenje?
Axis of Evil - M$, SCO, RIAA, MPAA

B-D_ ::

Za več informacij si oglej izvorno kodo (wmfhotfix.cpp) popravka...

Imaš ga v: C:\Program Files\WindowsMetafileFix\

(vir: http://www.hexblog.com/2005/12/wmf_vuln.html )

hanibal ::

B-D_ Thanks for Nothing
Drobovja ali anatomije Winblovsov ne mislim študirat.;(
In tudi sedaj, od doma, v C:\Program Files\WindowsMetafileFix ne morem pogledat ker imam /home/... :D
Samo me zanima, kako se tega hrošča lotevajo drugi administratorji omrežij večjih od, recimo SOHO srenje.
Oz. konkretno, še enkrat, na nivoju omrežja:
- kaj menite o učinkovitosti/upravičenosti blokade http prometa za strani, ki vsebujejo določene vsebine ( mp3 asx wma wmv avi mpeg mpg qt ram rm iso wav wmf)?
- kaj menite o cost/benefit ukrepu blokade mejlov z attachmenti z določenimi končnicami (mp3 asx wma wmv avi mpeg mpg qt ram rm iso wav wmf png jpg gif tif)?
- a je sploh kaj za naredit na network perimetru (tisto kar se da naredit na lokalnem nivoju me ne zanima, ker na to, razen na lastni službeni Windoze mašini nimam vpliva)?
Axis of Evil - M$, SCO, RIAA, MPAA

denial ::

hanibal, nisem administrator in je torej moje mnenje irelevantno in zgolj hipoteticno.

Zaradi možnih "attack vektorjev" in različnih permutacij exploita je filtriranje za sekvencami, kot ga svetuje US-CERT že malce arhaično. Filtriranje glede na kontent, bi bilo smiselno. Seveda se tu pojavi vprašanje funkcionalnost in uporabnosti... vendar, če bi bil administrator, bi *definitivno* filtriral HTTP/SMTP/POP promet za file extensioni, ki si jih omenil.

Microsoft bo prej ali slej izdal popravek, do takrat pa bi lahko, sicer nekoliko omejeno, vendar relativno varno uporabljal internet...

Še (mogoče uporaben) link:
http://blogs.technet.com/jesper_johansson/archive/2005/12/28/416565.aspx

Zgodovina sprememb…

  • spremenil: denial ()

darkolord ::

hanibal: kaj pa recimo kak antivirus na proxy/gateway?

Zgodovina sprememb…

denial ::

darkolord, jaz se ne bi zanašal na AV/IDS definicije...

A note from "bad guys":
We released a new version of the metasploit framework module for the WMF flaw, this one uses some header padding tricks and gzip encoding to bypass all known IDS signatures. Consider this "irresponsible" if you like, but it clearly demonstrates that a run-of-the-mill signature-based IDS (or A/V) is not going to work for this flaw.
HD Moore - Metasploit Framework

Zgodovina sprememb…

  • spremenil: denial ()

darkolord ::

Hja, do naslednjih definicij... AV bi IMHO pri tej stvari bil precej bolj uporaben, saj IDS (vsaj signature-based) išče le znane "napade"
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

0-day varnostna napaka v MS Word (strani: 1 2 3 )

Oddelek: Novice / Varnost
12312463 (8997) MrStein
»

McAfee ne mara Excela

Oddelek: Novice / Varnost
113371 (2944) Pyr0Beast
»

Popravkasti četrtek in torek

Oddelek: Novice / Varnost
324787 (3459) RejZoR
»

Nova luknja v Windowsih povzroči Infocon Yellow (strani: 1 2 )

Oddelek: Novice / Varnost
6710947 (8349) denial
»

"Nov" način kraje dostopa do elektronskega bančništva

Oddelek: Novice / Zasebnost
122945 (2945) jamiroq

Več podobnih tem