Erste präparierte JPEG-Bilder zur Windows-Sicherheitslücke im Umlauf

Erste präparierte JPEG-Bilder zur Windows-Sicherheitslücke im Umlauf (16 Beiträge, 623 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

http://www.heise.de/newsticker/meldung/51197

und der patch dazu unter
http://www.microsoft.com/germany/ms/security/jpegsec.mspx

microsoft note dazu
'Wichtig: Windows XP Service Pack 2 (SP2) ist von diesem Problem nicht betroffen. Benutzer von Windows XP SP2 müssen nur Office aktualisieren (falls installiert).'

Ein Grund mehr auf Tools von Drittherstellern zurückzugreifen und abgesehen von Windows möglichst wenig Software von MS zu verwenden um es potentiellen Angreifern schwerer zu machen (sofern man nicht gleich ganz auf Linux umsteigt).

Was waren das für Zeiten, als ausführbare Dateien als Einzige eine Gefahr darstellten. Heutzutage muss man zuerst das out-of-the-box OS updaten bevor man online geht, da ansonsten fünf Minuten später der Rechner verseucht sein würde und selbst MP3s und JPGs haben ihre Unschuld verloren.

"Those who would sacrifice a little privacy for more security, deserve neither privacy nor security."
(c) Benjamin Franklin

> und selbst MP3s haben ihre Unschuld verloren
Inwiefern ?

Wozu wertvolle Bandbreite für pseudo Sicherheitsupdates von Microsoft verschwenden ? Saugt euch lieber Pulstar und Bongo's Vs. X!! 100% Bugfree!

> Winamp hatte mal ein Problem mit dem heraussuchen von Mediainfo über die MP3
Von den ID3 Tags oda von einer CDDB Abfrage ?

(sigkilled v1.6 (Sun Sep 19 04:37:00 2004): http://forum.geizhals.net/files/35256/pulp_fiction_edit.jpg had 22851 bytes)

Die Gefahr geht weiterhin nur von ausführbaren Dateien aus. Eine MP3 oder ein JPEG allein sind ungefährlich.

Na dann nennen wir es halt vermeintliche MP3s und JPGs mit eingebetteten Schadensroutinen, die sich Schwachstellen der Abspiel- bzw. Anzeigesoftware zunutze machen und das System infizieren.

Angenommen, 2 Mrd Menschen würden von heute auf morgen auf Linux umsteigen... dann gäbs in 10 Jahren genausviele Probleme mit Linux, wie es sie jetzt mit Windows gibt.

Mehr Probleme als jetzt mit Sicherheit, aber nicht genausoviele. Das liegt u.a. am ausgefeilteren Benutzer-Sicherheitskonzept und am größtenteils einsehbaren Source Code.

"Those who would sacrifice a little privacy for more security, deserve neither privacy nor security."
(c) Benjamin Franklin

Genau dann versteh ich aber nicht die große Hetze gegen Softwarehersteller.

Ich beteilige mich nicht an der großen Hetze und halte es lediglich für gefährlich, zuviele Softwarekomponenten eines derartig dominierenden Marktführers einzusetzen.

Der IE ist schon seit längerer Zeit eine tickende Zeitbombe, zumindest wenn man die Trampelpfade des Webs hin und wieder verlässt, ähnliches gilt für OE und das nun selbst von harmlosen Formaten wie JPG eine Gefahr ausgeht, setzt dem Ganzen die Krone auf.

Wie das Beispiel Winamp zeigt, kann es natürlich auch Dritthersteller treffen, wobei Nullsoft im Bereich MP3-Player wohl zum Marktführer zählt, womit wiederum der erste Absatz meines Postings greift.

Früher hat es gereicht, unbedarften Computer-Usern einzuschärfen, keine ausführbaren Dateien dubioser Herkunft anzuklicken, heutzutage lauert die Gefahr einer Infizierung fast überall.

Und mal ehrlich: wie sollte ein braver User zu manipulierten JPEGs oder MP3s kommen.

Ich bitte dich. Gerade bei einem so populären Bildformat wie JPEG gibt's doch zig Möglichkeiten, da reicht beispielsweise schon die passive Beteiligung an einem harmlosen Forum.

Im Grunde gäbs einen Haufen weniger Probleme, wenn sich der User der Gefahren, die vom Netz ausgehen, bewußt wäre.

Dazu treiben sich viel zu viele Otto-Normalverbraucher herum, die sich um Sicherheitsaspekte nicht im Geringsten kümmern (und damit zum Teil auch überfordert wären).

"Those who would sacrifice a little privacy for more security, deserve neither privacy nor security."
(c) Benjamin Franklin

Und kommt dann mal ein Patch heraus, wird genauso gelästert wie vorher.

Weil's noch so schön dazupasst: Microsoft wartete mit Patch gegen JPEG-Fehler fast ein Jahr

"Those who would sacrifice a little privacy for more security, deserve neither privacy nor security."
(c) Benjamin Franklin

Angenommen, 2 Mrd Menschen würden von heute auf morgen auf Linux umsteigen... dann gäbs in 10 Jahren genausviele Probleme mit Linux, wie es sie jetzt mit Windows gibt.

Optimist! - Ich würd dir 0 weglassen!

lg
mIstA

Hi
Erlaube die "zirpsche Erweiterung" Deiner Aussage:
Angenommen, 2 Mrd Menschen würden von heute auf morgen auf Linux umsteigen und Eigenschaften wie das Rechtesystem und die Ahnungslosigkeit von Windows mitübernehmen ... dann gäbs in 10 Jahren genausviele Probleme mit Linux, wie es sie jetzt mit Windows gibt.
Die "Sicherheit" von Alternativen wie auch Linux eine ist, basiert auf dem Mix vieler Eigenschaften. Einige Beispielhafte:
.) restriktive Rechteverwaltung,
.) immer noch mehr Knoff Hoff nötig, um soetwas zum laufen zu bringen, daher auch mehr Bereitschaft, Updates am richtigen Flck zu machen, anstatt Komplettpakete zu installieren, ohne den Finger von der Enter-Taste zu erheben.
.) immer noch schnellere Entdeckung und Beseitigung von Bugs und Flaws. (Wie lange hat es bei diesem jpg-Bug gedauert?)
.) und auch, die von Dir erwähnte, nicht monokulturartige Verbreitung des Betriebssystemes. Die beinhaltet aber
.) keine monokulturartige Verwendung eines Programmes für einen Zweck. Krassestes Beispiel: allein für email gibt es jede Menge Alternativen die aber auch alle verwendet werden. Unter Win gibt es fast nur MS-Outlock oder davon abstammende Derrivate.
Nur das alles Zusammen wirkt.
Geht es in diesem Thread um Sicherheit? Z.B. fast alle Schadensprogramme die email zur Verbreitung benötigen, basieren auf den Microsoft - Outlock Programmen, nur ganz wenige gibt es für die alternativen Programme. (Da passt meine dieswöchige Sig. ja perfekt). Daher nur das Abgehen von Monokultur hin zu einer möglichst bunten Vielfalt wird es den Schädlingserzeugern schwer machen, einen weitverbreiteten Schädling für alle zu entwickeln. Dazu gehört auch Linux. Und aus genau dem gleichen Grund sollten nur jene zu einer Alternative (welche auch immer) wechseln, die reif dazu sind.
Also bitte: Bleib bei einem Deiner Win-Derrivate aber verteufle keine Alternative.
Gruß und *zirp*
GriLLe
--
Erster Tip der Deutschen Banken gegen Phishing Atacken: "Verwenden Sie nicht den Internet Explorer" (gesehen in einem Bericht in Focus-TV am 19.9.2004)

Hi
Als User mehrerer Systeme, unter denen auch zwei Linux sind, gesprochen: Siehste und ich verteufle gerne alle, die sagen nur Win sei gut und irgendeine Alternative wäre böse. Ich empfinde Deine Sicht als zu simpel ausgedrückt. Schließlich sollen nicht alle Linux verwenden, sondern alle Betriebssysteme gleichmäßiger verbreiten sein - Auch im Sinne der Windows-Welt! Zu den Virenschleudern und Schädlingsverbreitern werden immer die Anhänger einer Monokultur gehören, egal welchen Namen die trägt. Das ist im System impliziert.
Weit verbreitet bedeutet: es ist viel Erfahrungsschatz vorhanden - das bedeutet: es wird weiterempfohlen, an jene, denen Erfahrung fehlt - das bedeutet: die werden, solang sie keine Erfahrung haben für Probleme sorgen, unabhängig vom Betriebssystem! Für die Gruppe, der die Erfahrung fehlt, ist aber aus der Sicht der allgemeinen Sicherheit ein restiktives System vorteilhaft. Also muß ein Win_irgendwas_nur_nicht_Home, SUN, Apple_OS, BSD oder eben auch Linux her (Ich hoffe, ich habe diesmal Deinen Farbgebungswunsch getroffen). Nicht umsonst ist für die Unix-Derrivate kein einzger Schädling "in the wild", für unser lieblings-Monoultur-Betriebssystem gibt's richtige Hitlisten. Das hängt aber auch mit den Argumenten zusammen, die im obigen Posting stehen.
Und jetzt doch noch eine pro-Linux Äußerung: BSD und Linux sind für Otto Daheimuser die zurzeit Kostengünstigsten - wenn man von der Raubkopierschiene absieht.
Was ich zurzeit als echte Schwachstelle empfinde, und gerne verteufeln würde, ist die Outlock- und Internetexplorer-Monokultur, die uns allen wirklich Probleme bereitet. Wären email- und Browserprogramme besser durchmischt, dann gäbe es zwar mehr Schwierigkeiten beim Bedienen, aber wesentlich weniger Schädlinge. Davon bin ich restlos überzeugt.
Gruß und *zirp*
GriLLe
--
Erster Tip der Deutschen Banken gegen Phishing Atacken: "Verwenden Sie nicht den Internet Explorer" (gesehen in einem Bericht in Focus-TV am 19.9.2004)

------------------
Best Regards,

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung