< HomePage | Снимки
<- Сряда, 28 Декември 2005 | Начална страница | Петък, 30 Декември 2005 ->
Четвъртък, 29 Декември 2005

Поредната веселба при лагера на УЙндолсджиите. Хайде сега някой да ми обясни следното малоумие и дали това е "Secure Computing"...

WMF е Windows Meta File. Не, не е картинка. В такъв вид файл се записват директни извиквания към GDI на Windows, което естествено позволява да се рисува /и не само/. Обаче има една тъкност. Още от Windows 3.0 в такъв файл може да собствена обработка на метода AbortProc, чрез SetAbortProc. Тоест при опит за спиране на заявка за печат, тази функция се изпълнява. Да не забравяме, че кода от тази функция се съдържа във WMF файла.

Така комбинирайте горните знания с това, че IE зарежда и директно показва WMF файлове, а чрез JavaScript може да извиквате функция за печат и да я прекъсвате.

Комбинирайте също с факта, че IE има механизъм за "подушване" на типа на даден файл. Тоест дори файла да е с разширение .JPG или .GIF, IE гледа първите 512 байта и спокойно може да реши, че файла е WMF.

Краен ефект - *ЕЛЕМЕНТАРНО* изпълнение на код на клиентска машина, докато нищо неподозиращият потребител просто се шляе из интернет. Това вече беше демонстрирано, очаквайте скоро да плъзнат червеците и другите благини.

...ей така се правят армии с милиони зомбирани машини.

[ Коментари: 12 ]
Коментари

http://www.microsoft.com/technet/security/advisory/912840.mspx

Съветите на чичко Били за разрешаване на проблема.

Написа Георги Чорбаджийски (www) на 30-Dec-2005 11:19


http://isc.sans.org/diary.php?storyid=981

Ей това направо ме разби:

"1. Filter all common picture file extensions at the network perimeter.

The following file extensions are recommended:

BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF and WMF, because Microsoft Windows handles picture files by information of the file header information, not by file extension used.

2. Do not Open... or View... picture files from untrusted sources."

Както се изрази Весо, недейте бе! Ще рухне порно индустрията :-)))

Написа Георги Чорбаджийски (www) на 30-Dec-2005 11:28


Стара информация много стара
това беше 95 година

Написа Иван на 30-Dec-2005 13:28


Нещо не разбрах...кое е старо? Функционалността ли? Да тя е стара и е чудесна виж как удобно може да се използва.

Написа Георги Чорбаджийски (www) на 30-Dec-2005 14:38


"Microsoft said in a statement yesterday that it is investigating the vulnerability and plans to issue a software patch to fix the problem. The company could not say how soon that patch would be available."

Хюстън имаме голям проблем, кога ще го оправим един господ знае.

"Mac and Linux computer users are not at risk with this attack, even if their computers run Microsoft programs such as Office or the Internet Explorer Web browser."

Значи даже и да ползвате бъгавите им програми под друга операционна система не сте уязвими. Голям смЕх.

http://www.washingtonpost.com/wp-dyn/content/article/2005/12/29/AR2005122901456.html
http://www.eweek.com/article2/0 ,1895,1906513,00.asp

Написа Георги Чорбаджийски (www) на 30-Dec-2005 18:18


Малко е извън темата, ама винаги съм се чудел защо някои българи заместват "w" в английските текстове с "л"? И то избирателно? Ако може г-н Чорбаджийски да сподели защо е транскрибирал думата WindoWs в УйндоЛс... Хеле пък колко съм се дзерил докато разбера че РОЛ файл всъщност е raw file...

Написа Дуриан на 31-Dec-2005 18:41


Транскрибирам я така, щото УЙндоус ми звучи превзето пък и докато го кажа ще си изкривя врата. Освен това Л-то ми напомня за думата Lame :)

Написа Георги Чорбаджийски (www) на 31-Dec-2005 22:47


...The word from Redmond isn't encouraging. We've heard nothing to indicate that we're going to see anything from Microsoft before January 9th...

...The upshot is this: You cannot wait for the official MS patch, you cannot block this one at the border, and you cannot leave your systems unprotected...

http://isc.sans.org/diary.php?date=2006-01-01

Написа Георги Чорбаджийски (www) на 01-Jan-2006 16:09


Information for Windows OneCare users... bal-bla-bla... последният абзац --> ако ние не можем да Ви оправим FBI ще се погрижи за Вас... трудно е при такива обстоятелства да се почувстваш малък човек загубен в големият лош Интернет :)

Написа Иван на 02-Jan-2006 00:57


Проблема се решава лесно: Get FireFox Now :)

Написа Пламен на 04-Jan-2006 10:08


Problem published: December 28, 2005
Problem solved: Jan 5th 2006.

http://go.microsoft.com/fwlink/?LinkId=58471

Написа Дончо (www) на 13-Jan-2006 22:07


V1.0 (January 5, 2006): Bulletin published.

Мда, след като вече цял месец хората го експлойтваха най-накрая "изпреварвайки" стандартния черен четвъртък пуснаха пачовете. Смях, смях...

Написа Георги Чорбаджийски (www) на 14-Jan-2006 07:16