MS JPEG Processing Buffer Overflow Vulnerability

#0
16.09.2004, 20:17
Member
Avatar Ajax

Beiträge: 890
#1 Microsoft Multiple Products JPEG Processing Buffer Overflow Vulnerability

Zitat

Critical: Highly critical
Impact: System access
Where: From remote
Solution Status: Vendor Patch

OS:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Software:
Microsoft .NET Framework 1.x
Microsoft Digital Image Pro 7.x
Microsoft Digital Image Pro 9.x
Microsoft Digital Image Suite 9.x
Microsoft Frontpage 2002
Microsoft Greetings 2002
Microsoft Internet Explorer 6
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office XP
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Picture It! 2002
Microsoft Picture It! 7.x
Microsoft Picture It! 9.x
Microsoft PowerPoint 2002
Microsoft Producer for Microsoft Office PowerPoint 2003
Microsoft Project 2002
Microsoft Project 2003
Microsoft Publisher 2002
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Word 2002
Gruß
Ajax
Dieser Beitrag wurde am 16.09.2004 um 20:18 Uhr von Ajax editiert.
Seitenanfang Seitenende
18.09.2004, 00:34
Member

Beiträge: 38
#2 Erste präparierte JPG's sind im Umlauf:
http://www.heise.de/newsticker/meldung/51197

Patchen ist daher keine schlechte Idee
http://www.microsoft.com/germany/ms/security/jpegsec.mspx
Seitenanfang Seitenende
18.09.2004, 11:25
Member

Beiträge: 65
#3 Tag zusammen...

Damit leute nicht viel auf auf Microsoft.com suchen müssen, hier direkt das Sicherheitsupdate für Microsoft Windows XP:

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=6F8D70C1-63BD-4213-82C1-20266FDFD735

Schönes WE,

Laura
Seitenanfang Seitenende
18.09.2004, 13:49
Member

Beiträge: 3306
#4 Und wieder erfreu ich mich an meinem Windows 2000 ;)
Ist halt doch nicht das wahre die Codebasis ständig zu verbreitern und dann hinterherzupatchen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 18.09.2004 um 13:50 Uhr von asdrubael editiert.
Seitenanfang Seitenende
19.09.2004, 09:59
Member

Beiträge: 1132
#5 @Laura4

SP2 aufspielen beseitigt die Lücke auch. Hier das Zitat von der MS Update-Seite:

Zitat

September 2004 Security Update for JPEG Processing (GDI+)
Published: September 14, 2004

The GDI+ security update for September 2004 addresses newly discovered issues in JPEG processing technology. This issue affects software that supports this image format, including some versions of Microsoft Windows, Microsoft Office, and Microsoft developer tools. If you have any of the listed software installed on your computer, you should install the related update.

Depending on the software you are using, you may need to install multiple updates from multiple locations.

Important Windows XP Service Pack 2 (SP2) is not affected by this issue. Windows XP SP2 users only need to update Office (if installed).
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
26.09.2004, 15:34
Member
Avatar Tille

Beiträge: 451
#6 Pressemeldung Antivir

Zitat

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik haben den ersten Baukasten zum Erstellen von JPEG Dateien mit eingebautem Exploit-Code entdeckt.
na den viel Spass
Tille
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.
Seitenanfang Seitenende
26.09.2004, 21:17
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#7 GDI Scanner Released

Zitat

gdiscan.exe was written for Windows 2000 and higher. It scans the drive containing the Windows %system% directory and Looks for vulnerable versions of gdiplus.dll, sxs.dll, wsxs.dll, mso.dll.
Gruß
Ajax
Seitenanfang Seitenende
28.09.2004, 01:24
Member

Beiträge: 23
#8 Ich habe gelesen das Patchen nichts bringt!!!!

Versucht mal das Bild:

http://sylvana.net/test/AP4.jpg

in den IE zu öffnen... (Vorsicht! Alle IE Fenster werden zugemacht: "IEXPLORE.EXE hat ein Problem festgestellt und muss beendet werden.")

Beim Firefox kein Problem!!!

Gruß

Bird
Dieser Beitrag wurde am 28.09.2004 um 01:54 Uhr von bird editiert.
Seitenanfang Seitenende
29.09.2004, 14:49
Member

Beiträge: 3306
#9 http://www.heise.de/newsticker/meldung/51611

Zitat

Die Hinweise mehren sich, dass das Installieren der Microsoft Patches zum Stopfen der JPEG-Sicherheitslücke nicht in allen Fällen vollen Schutz bietet. Der Grund ist das Wirrwarr möglicher verwundbarer DLLs in Windows, da viele Applikationen ihre eigenen Versionen mitliefern und im Installationsordner ablegen. Selbst bei Microsoft bringt jede Applikation ihre eigene Kopie zur Installation mit.
DLL Hell heißt die Bezeichnung für sowas...
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
29.09.2004, 15:07
Member

Beiträge: 23
#10

Zitat

Zusammen mit AV-Test untersucht heise Security ein weiteres JPEG-Bild, das auch auf vollständig gepatchten Systemen den Internet Explorer zum Absturz bringt. Der Fehler tritt aber nur in Microsofts Web-Browser auf, andere, von der ursprünglichen JPEG-Sicherheitslücke betroffene Applikationen scheinen in diesem Fall nicht gefährdet zu sein. Sollte sich der Fehler zum Einschleusen von Code ausnutzen lassen, wird heise Security eine Warnungmeldung veröffentlichen. Erste Ergebnisse deuten auf ein Problem bei der Verarbeitung des SOS-Tags in JPGs hin. Eine Null-Pointer-Dereference verursacht eine Speicherzugriffsverletzung, die zum Absturz führt -- Code lässt sich damit wahrscheinlich nicht einschleusen und ausführen.
aus:

http://www.heise.de/security/news/meldung/51459
Seitenanfang Seitenende
29.11.2004, 09:18
...neu hier

Beiträge: 9
#11 Hallo,

Ich besuche oft eine Tschechische Tageszeitung (ceskenoviny.cz), und die letzten Wochen stelle ich fest (durch Sygate Firewall), dass man hier regelmäßig die Internet Besucher durch "Overflow Vulnerability attempt" ausspioniert ! Jetzt zur Zeit wird es gleich auf der Startseite ausgeführt !

P.S.
Wer einen guten Firewall hat, kann die Seite ansurfen.
Dieser Beitrag wurde am 29.11.2004 um 09:22 Uhr von lincoln editiert.
Seitenanfang Seitenende
29.11.2004, 13:16
Moderator
Avatar joschi

Beiträge: 6466
#12 Also mal dran gedacht, dass hier ein Fehlalarm vorliegen könnte ?
Nenne doch bitte mal den direkten Pfad zu der Grafik !
Übrigens:

Zitat

Wer einen guten Firewall hat, kann die Seite ansurfen.
Nein...wer sein System gepatcht hat kann die Seite ansurfen. Eine Firewall überprpüft Netzwerkverbindungen und erstzt niemals den Umstand, dass das OS auf dem aktuellsten Stand ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
01.12.2004, 20:26
Member

Beiträge: 58
#13 Der GDI Scan zeigt mir die
C:\WINDOWS\$NtServicePackUninstall$\sxs.dll
in rot als Vulnerable Version an!
Warum meldet mir dann das automatische update von Win XP
und von Office 2003 kein notwendiges update?
Nun weiss ich nicht genau ob ich geschützt bin oder welchen
Patch ich benötige.
Kann mir jemand helfen?

edit:
ah, ich glaube, dass der Pfad in der die Datei liegt ausschlaggebend dafür
ist. Die vulnerable Datei ist quasi nicht aktiv, sondern liegt nur faul in
einem Backup Ordner rum.
Dieser Beitrag wurde am 01.12.2004 um 20:31 Uhr von Der Zatu editiert.
Seitenanfang Seitenende
28.12.2004, 22:04
...neu hier

Beiträge: 9
#14

Zitat

joschi postete
Also mal dran gedacht, dass hier ein Fehlalarm vorliegen könnte ?
Nenne doch bitte mal den direkten Pfad zu der Grafik !
28.12.04
21:56
http://www.ceskenoviny.cz/archiv/?id_seznam=160&seznam_start=147

ein jpg bild mit remote host ip(vom firewall)könnte ich liefern ...
Dieser Beitrag wurde am 28.12.2004 um 22:05 Uhr von lincoln editiert.
Seitenanfang Seitenende
29.12.2004, 18:02
Moderator
Avatar joschi

Beiträge: 6466
#15

Zitat

http://www.ceskenoviny.cz/archiv/?id_seznam=160&seznam_start=147
...die waren wohl schneller im Austauschen, als ich im abspeichern. Nimm das betr. Bild einfach und scanne es unter http://www.kaspersky.com/remoteviruschk.html oder
http://virusscan.jotti.dhs.org/ . Auf das Ergebnis bin ich gespannt !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: