Exploits ontdekt voor JPEG-bug

   

Anderhalve week geleden meldden wij al dat er een bug gevonden was in de JPEG-implementatie van recente Windows-versies. Deze bug kan een buffer overrun veroorzaken wanneer hij uitgebuit wordt. Sinds afgelopen woensdag zijn er ook exploits beschikbaar voor deze bug, zo schrijft Computerworld. Via deze exploits kan een kwaadwillende gebruiker volledige controle verkrijgen over een Windows-machine, zo blijkt uit waarschuwingen van antivirusbedrijven en experts op het gebied van internetveiligheid. Uit onderzoek is gebleken dat de twee gepubliceerde exploits beide proof-of-concept-virussen zijn, wat betekent dat ze vooral bedoeld zijn om te laten zien wat echte virussen voor schade kunnen aanrichten als er misbruik wordt gemaakt van de genoemde JPEG-bug. Misbruik maken is overigens geen zaak voor scriptkiddies, zo meent een analist: "er is behoorlijk wat kennis nodig om werkende exploits te maken".

De exploits maken een JPEG-bestand met daarin code om een overflow te veroorzaken in gdiplus.dll. De eerste exploit zal een commandprompt openen, wanneer een besmet JPEG-bestand bekeken wordt via Windows Explorer. De exploitcode kan gemakkelijk aangepast worden zodat er niet alleen een shell geopend wordt, maar ook bepaalde commando's uitgevoerd worden. De tweede exploit zorgt ervoor dat een nieuw beheerdersaccount toegevoegd wordt met de naam 'X'. Dit account kan vervolgens gebruikt worden door kwaadwillenden om allerlei leuke en minder leuke dingen te doen met de betreffende pc. Nieuwe exploits kunnen verspreid worden door corrupte JPEG-afbeeldingen te versturen via e-mail of te serveren op websites. Het is zelfs mogelijk om 'veilige' afbeeldingen dynamisch te besmetten op het moment dat ze door een webserver geserveerd worden

Bron: www.tweakers.net