http://www.astalavista.com/page/articles/_/other-languages/ Fri, 10 Feb 2012 18:07:15 +0000 43200 http://www.astalavista.com/page/articles/_/other-languages/allarme-jpeg-facebook-r33 Caversi
La comparsa del primo virus JPEG

Il 14 settembre Microsoft ha pubblicato il bollettino di sicurezza MS04-028 annunciando una vulnerabilità critica nel modo in cui certi componenti Windows gestiscono i file .JPEG; grazie a questo bug un attaccante può eseguire codice arbitrario su sistemi altrui. Un cracker potrebbe dunque inserire in un'immagine JPEG un codice eseguibile che verrebbe automaticamente avviato ad ogni apertura o visualizzazione del file sulle macchine prive di patch.

L'esecuzione automatica di questo codice può fornire all'attaccante gli stessi privilegi di accesso all'informazione attribuiti all'utente effettivo.
Lo sfruttamento remoto di questa vulnerabilità può comportare la realizzazione di pagine Web apposite, mentre un attacco tramite posta elettronica potrebbe essere effettuato inviando in allegato un file JPEG modificato.

Un ulteriore vettore di propagazione è nelle condivisioni di rete, dove è possibile inserire copie di file JPEG modificati: la vulnerabilità può essere attivata dall'utente semplicemente visualizzando l'anteprima della condivisione o spostando il cursore sul file JPEG. La comparsa di questo virus è particolarmente preoccupante dal momento che i file JPEG sono uno dei formati più comunemente usati per le immagini.

Prove concettuali di codice capace di sfruttare questa vulnerabilità sono apparse solo tre giorni dopo la pubblicazione del bollettino Microsoft.
Il 24 settembre è comparso anche un toolkit che permette di far leva su tutte le potenzialità di questa vulnerabilità, indicando l'esistenza di sforzi congiunti per massimizzare completamente il bug. Trend Micro identifica il toolkit come HTKL_JPGDOWN.A, che può essere utilizzato per generare file JPEG adatti a sfruttare la vulnerabilità.

Una volta lanciato, il toolkit apre un pannello con il titolo del programma ("JPEG Downloader by [ATmaCA]") e chiede quindi di specificare un URL che sarà scaricato dal file JPEG generato dal tool stesso.
L'utente non deve far altro che selezionare il pulsante "Make" per generare un file JPEG appositamente modificato.
Modificato da Well Layer
I cracker trovano terreno fertile in facebook, dove un'infinità di immagini di terze parti si diffonde con estrema rapidità.
Facebook non compie la scansione *JPEG. Infatti, gli utenti devono fare affidamento sui propri software anti-virus, per difendersi da tali minacce a differenza di quanto avviene nel web.



Ammendment:
Semplicemente perché è stato eliminato, perché i Browser web vengono continuamente testati e aggiornati, fatti girari su sistemi senza protezione antivirus ne firewall. Ho riportato l'articolo solo a scopo informativo.
Nota: creare quel tipo di virus nelle immaggini *JPEG, non è cosa da cracker o da lamer, ne tantomeno roba da hacker, in quanto quest'ultimi lavorano sulla vulnerabilità dei
protocolli di rete.
In realtà non si è mai trattato di virus nelle img.*JPEG, ma di un'applicazione "Toolkit" creata dalle software house che elaborano applicativi nell'editing delle immagini.In sintesi una stringa di codice che generava un bug nei Browser Web scarsamenti protetti,
da subito cancellata per la sua inutilità.]]> Mon, 09 Aug 2010 10:43:45 +0000 9fc3d7152ba9336a670e36d0ed79bc43