Holla, die Waldfee!

Das nenn ich mal einen prächtigen Bug, der eine wahre Flut von Exploits auslösen wird:

Microsoft stopft schwerwiegende Lücke in JPEG-Bildverarbeitung (http://www.heise.de/newsticker/meldung/51070)

Jetzt kann man unter Windows nichtmal mehr gefahrlos schmutzige Bildchen betrachten. Zu geil. :D

Nicht betroffen sind unter anderem Windows 98, NT, 2000 und Windows XP mit Service Pack 2 sowie der Internet Explorer 5.01 und 5.5.Wer sein System nicht auf den aktuellsten Stand hält, ist selbst schuld...

Tsk, mein Liebling ist immer noch folgender BMP BufferOverflow, der 11 Monate lang nicht gefixt wurde!
http://lists.netsys.com/pipermail/full-disclosure/2004-February/017364.html
Wie viel einfacher zu fixen kann ein Bug denn noch sein?

Wer sein System nicht auf den aktuellsten Stand hält, ist selbst schuld...


Wenn du MS Office oder sowas installiert hast, nützt dir dein XP SP2 einen Scheissdreck gegen diesen Bug.

Das heisst nur, dass in XP SP2 dieser Fehler nicht steckt. Nicht aber, dass man mit SP2 vor dem Bug geschützt ist, wenn man irgend eines dieser Programme installiert hat.

Das heisst nur, dass in XP SP2 dieser Fehler nicht steckt. Nicht aber, dass man mit SP2 vor dem Bug geschützt ist, wenn man irgend eines dieser Programme installiert hat.Allerdings muss das Opfer ein derartiges Bild auf dem System mit einer Applikation ansehen, die die fehlerhafte Komponente benutzt.Würde das nicht heißen, das erst was passieren kann, wenn man das Bild mit einem Programm öffnet, das diese fehlerhafte Komponente verwendet?

z.B. Office installiert, Bilder werden aber mit etwas anderem betrachtet -> kein Problem?

Wofür gibts OpenOffice? ;)

Wer sein System nicht auf den aktuellsten Stand hält, ist selbst schuld...
Mit der Aussage wäre ich VERDAMMT vorsichtig.

Was passiert, wenn du eines der betroffenen Programme installierst/nachinstalliertst? Hmm?

Wäre es möglich, dass dabei die alte DLL wieder in deinem System landet? Und nu?

Mit der Aussage wäre ich VERDAMMT vorsichtig.

Was passiert, wenn du eines der betroffenen Programme installierst/nachinstalliertst? Hmm?

Wäre es möglich, dass dabei die alte DLL wieder in deinem System landet? Und nu?Was dann passiert? Gar nichts, weil ich diese Programme überhaupt nicht nutzen werde. ;)
Außerdem gibts ja jetzt einen Patch :tongue:

Was dann passiert? Gar nichts, weil ich diese Programme überhaupt nicht nutzen werde. ;)
Jo, das ist natürlich eine Argumentation, der man sich schwer entziehen kann. :|

Herr, lass es regnen.

Jo, das ist natürlich eine Argumentation, der man sich schwer entziehen kann. :|
Andere Software gibt es genügend, die den gleichen Zweck erfüllen... warum also viel Geld für Microsoft-Software ausgeben, welche man überhaupt nicht braucht?

Andere Software gibt es genügend, die den gleichen Zweck erfüllen..
Prima! Wusste ich doch nicht!

Äh, wo find ich jetzt doch gleich deine brauchbare Alternative zu VS.NET?

Prima! Wusste ich doch nicht!

Äh, wo find ich jetzt doch gleich deine brauchbare Alternative zu VS.NET?
Kommt drauf an, was man damit machen will...
Alternativen gibt es einige, ob man sie einsetzt, ist jedoch die andere Frage ;)

z.B.
SharpDevelop - OpenSource und Freeware
http://www.icsharpcode.net/OpenSource/SD/ (http://www.icsharpcode.net/OpenSource/SD/)

Alles klar. ;D

Andere Software gibt es genügend, die den gleichen Zweck erfüllen... warum also viel Geld für Microsoft-Software ausgeben, welche man überhaupt nicht braucht?

klar, gleicher zweck... zB BufferOverflows werden von allen bedient ;)
http://www.heise.de/newsticker/meldung/51143
bugs sind eben überall zu finden.

Das eine Software nie 100% fehlerfrei sein wird, sollte bekannt sein.

Allerdings macht es schon einen gewaltigen Unterschied, ob ein Fehler in Windows/Internet Explorer oder Linux/Mozilla bekannt wird.

Bei Windows-Systemen kann man sich sicher sein, das kurz darauf jemand diese Lücke ausnutzt...

Das eine Software nie 100% fehlerfrei sein wird, sollte bekannt sein.

Ja, aber BufferOverflows gibt's nur bei Programmiersprachen, die es erlauben.

Das eine Software nie 100% fehlerfrei sein wird, sollte bekannt sein.

Allerdings macht es schon einen gewaltigen Unterschied, ob ein Fehler in Windows/Internet Explorer oder Linux/Mozilla bekannt wird.

Bei Windows-Systemen kann man sich sicher sein, das kurz darauf jemand diese Lücke ausnutzt...

stimmt, bei ms wird gebasht und bei den andren ist es nur ein fehltritt. linux/mozilla ist ja kein ziel für hacker. total uninteressant :|
in einem andren thread hatten wir es schonmal zum thema bufferoverflow. 100% fehlerfrei muss sie ja nicht sein, aber solche fehler sollten nicht passieren.

stimmt, bei ms wird gebasht und bei den andren ist es nur ein fehltritt. linux/mozilla ist ja kein ziel für hacker. total uninteressant :|Das eine hat mit dem anderen absolut nichts zu tun.
Es ist allerdings so, das vorallem die Systeme betroffen sind, die die höchste Verbreitung haben.

Wenn ein Virenschreiber ein Virus für Suse Linux schreiben würde, würde er kaum Schaden anrichten können, da dieses System nicht sehr verbreitet ist, im Vergleich zu Windows.
Mag ja sein, das es auf ein einigen Webservern läuft, aber diese sind meist auch gut geschützt.
Windows dagegen läuft auf fast jedem Homeuser-PC, da bietet es sich doch an, Windows als primäres Ziel zu wählen. Vorallem weil viele User, keine aktuellen Updates, Firewalls oder Virenscanner einsetzen.

Sicherheitslücken können immer ausgenutzt werden, das sollte klar sein.
Allerdings werden Plattformen, die am "anfälligsten" sind, am meisten genutzt...

Wer sein System immer auf dem neuesten Stand hält, ist sowieso selten betroffen. Da spielt das Betriebssystem keine Rolle.

Das eine hat mit dem anderen absolut nichts zu tun.
Es ist allerdings so, das vorallem die Systeme betroffen sind, die die höchste Verbreitung haben.

Wenn ein Virenschreiber ein Virus für Suse Linux schreiben würde, würde er kaum Schaden anrichten können, da dieses System nicht sehr verbreitet ist, im Vergleich zu Windows.
Mag ja sein, das es auf ein einigen Webservern läuft, aber diese sind meist auch gut geschützt.
Windows dagegen läuft auf fast jedem Homeuser-PC, da bietet es sich doch an, Windows als primäres Ziel zu wählen. Vorallem weil viele User, keine aktuellen Updates, Firewalls oder Virenscanner einsetzen.

Sicherheitslücken können immer ausgenutzt werden, das sollte klar sein.
Allerdings werden Plattformen, die am "anfälligsten" sind, am meisten genutzt...

Wer sein System immer auf dem neuesten Stand hält, ist sowieso selten betroffen. Da spielt das Betriebssystem keine Rolle.

wo ist der logische zusammenhang? nur weil ein system weiter verbreitet ist muss es sicherer sein als ein nischenprodukt? :|
beim finanzfaktor würde ich ja noch zustimmen, aber so?

wo ist der logische zusammenhang? nur weil ein system weiter verbreitet ist muss es sicherer sein als ein nischenprodukt? :| [X] Nein.
Das System ist deshalb nicht sicherer. Aber die Personen, die großen Schaden anrichten wollen, "spezialisieren" sich nunmal auf die verbreiteten Systeme.

Es wäre sicherlich interessant zu sehen, wie gut die ganzen alternativen wirklich sind, wenn sie einen ähnlichen Verbreitungsgrad wie Windows hätten.

[X] Nein.
Das System ist deshalb nicht sicherer. Aber die Personen, die großen Schaden anrichten wollen, "spezialisieren" sich nunmal auf die verbreiteten Systeme.

Es wäre sicherlich interessant zu sehen, wie gut die ganzen alternativen wirklich sind, wenn sie einen ähnlichen Verbreitungsgrad wie Windows hätten.
garantiert auch nicht besser. wie immer halt. aber man kann halt schön schimpfen....

Laut dem Heise-Newsticker (Link (http://www.heise.de/newsticker/meldung/51197)) sind nun erste Bilder im Umlauf, die den Fehler ausnutzen.

Auf der Seite Gulftech.org ist ein Bild zum Testen (http://www.gulftech.org/?node=downloads) verfügbar, das unter Windows XP in den entsprechenden Applikationen einen Buffer Overflow provoziert. Beispielsweise stürzt der Windows Explorer bei der Anwahl des Bildes ab -- ohne dass die Preview aktiviert ist oder das Bild geöffnet wird. Das Öffnen mit Windows Paint hingegen funktioniert ohne Probleme.
http://www.heise.de/RealMedia/ads/adstream_lx.ads/www.heise.de/newsticker/meldungen/423529531/Middle1/he-test-contentads/zaehler.html/63306138316530643431346233613530?_RM_EMPTY_
Es sollte auf jeden Fall der Patch von Microsoft installiert werden, da es ansonsten nur noch eine Frage der Zeit sein sollte, bis die ersten richtigen Schädlinge diese Sicherheitslücke ausnutzen.

Patch: http://www.microsoft.com/germany/ms/security/jpegsec.mspx

Ich benutze Win2k3, habe es noch nicht gepatcht, überhaupt nicht, und, naja, es geht irgendwie nicht 0_o Ich mag zu blöd sein, aber keines der unter XP betroffenen Programme stürzt bei mir ab. Die modifizierte Thumbs.db wird allerdings auch ignoriert. Windows (s) 2003 is halt doch irgendwie immernoch zwei schritte vorraus...

Warnung: Wer jetzt noch nicht gepatcht hat, sollte dies schleunigt nachholen!


JPEG-Exploits per Mausklick für jedermann

Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder (http://www.heise.de/security/news/meldung/51197) ist aufgetaucht. Nach dem Start des Tools muss man nur noch eine URL zu einem Server eingeben, die auf ein dort gespeichertes beliebiges Programm zeigt. Ein Klick auf "Make" erzeugt dann ein JPG-Bild auf der Festplatte. Dessen Ansicht provoziert bei ungepatchten Applikationen unter Windows einen Buffer Overflow. In der Folge landet im Bild enthaltener Code auf dem Stack, der bei der Ausführung das Programm von der angegebenen URL nachlädt und startet.

Denkbar ist, dass Angreifer solche Bilder per Mail versenden und auf Web-Seiten platzieren, um verwundbare Systeme mit Trojanern und Dialern zu infizieren
(...)

Quelle: http://www.heise.de/newsticker/meldung/51459
Das Update ist unter der Adresse http://www.microsoft.com/germany/ms/security/jpegsec.mspx
downloadbar.

Wozu auf einmal die Eile? Manche Exploits sind die "origianalen" von Netscape aus dem Jahr 2000
http://www.heise.de/newsticker/meldung/51274

oder einfach nicht mit IE suffern und Faultlook verwenden.

Wozu auf einmal die Eile? Manche Exploits sind die "origianalen" von Netscape aus dem Jahr 2000
http://www.heise.de/newsticker/meldung/51274

oder einfach nicht mit IE suffern und Faultlook verwenden.Weil es jetzt ein "Baukastenset" gibt, für jedermann.
Jeder Webseitenbetreiber könnte diese Sicherheitslücke ausnutzen, ohne Ahnung von der Materie zu haben.

Außerdem ist der Internet Explorer nicht das einzigste Programm, das davon betroffen ist.

Die genauere Liste sieht so aus:



Windows XP and Microsoft Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003
Windows Server™ 2003
Windows Server 2003 64-Bit Edition
Office XP Service Pack 3
Office XP Service Pack 3
Outlook 2002
Word 2002
Excel 2002
PowerPoint 2002
FrontPage 2002
Publisher 2002
Office 2003
Outlook 2003
Word 2003
Excel 2003
PowerPoint 2003
FrontPage 2003
Publisher 2003
InfoPath 2003
OneNote 2003
Project 2002 Service Pack 1
Project 2003
Visio 2002 Service Pack 2
Visio 2003
Visual Studio .NET 2002
Visual Basic .NET Standard 2002
Visual C# .NET Standard 2002
Visual C++ .NET Standard 2002
Visual Studio .NET 2003
Visual Basic .NET Standard 2003
Visual C# .NET Standard 2003
Visual C++ .NET Standard 2003
Visual J# .NET Standard 2003
Microsoft .NET Framework version 1.0 SDK Service Pack 2
Microsoft .NET Framework version 1.0 Service Pack 2
Microsoft .NET Framework version 1.1
Picture It! 2002
Greetings 2002
Picture It! version 7.0 (alle Versionen)
Digital Image Pro version 7.0
Picture It! version 9
Digital Image Pro version 9
Digital Image Suite version 9
Producer for Microsoft Office PowerPoint
Microsoft Platform SDK Redistributable: GDI+
Internet Explorer 6 Service Pack 1

Nicht betroffen sind unter anderem Windows 98, NT, 2000 und Windows XP mit Service Pack 2 sowie der Internet Explorer 5.01 und 5.5. Allerdings wird ein nicht betroffenes System durch die Installation einer der oben genannten Applikationen wieder verwundbar. Genauere Angaben sind dem Original-Bulletin zu entnehmen.

OK.. ich hab hier nur Frontpage 2003 - wie muss ich das konkret updaten?

Leute,

sollte man nicht den Threadtitel aendern und ihn oben anpinnen ??

Denn dank des Baukastens ist ab Wochenede JEDES jpg im Web, per Mails empfangene sowieso, gefaehrlich...

dann rollt eine Virenwelle ueber die Welt, wie sie es bis jetzt noch nicht gegeben hat... !

Und : Es gab AUCH mit SP2 und/oder einem gepatchten System noch jpgs die angeschlagen haben, d.h. also, man ist bis jetzt NICHt mehr sicher, bis M$ wirklich eine Patch nachschiebt, der grundlegend das Problem an der Wurzel packt und behebt...

Jetzt gehts los! Jetzt gehts los! ;D

Auch gepatchte Systeme sind nicht sicher.
Ausserdem sind nicht nur Microsoft Produkte betroffen.

Heise Meldung (http://www.heise.de/newsticker/meldung/51611)

Mich wundert ja, dass das Thema hier im Forum nahezu untergeht. Dürfte sich wohl bald ändern. :D

Wir loben und wir preisen dich, oh DLL Hell!

Toll... hab 5 "vulnerable" Versionen. :/

Windows Server 2003 kann ich nicht bestätigen, obwohl nicht gepatcht funktionierten die *Testbilder* bei mir nich bzw. wurden wie normale Jpegs angezeigt. Auch Windowsupdate sagte mir, ich hätte kein betroffenes Softwareprodukt.