Картинки представляют серьезную опасность для Windows-ПК

Во вторник Microsoft опубликовала исправление для серьезного пробела в защите своего ПО, обрабатывающего графический формат JPEG, и призвала заказчиков воспользоваться новым инструментом для выявления многих уязвимых приложений.

«Критическая» ошибка кроется в механизме, при помощи которого операционные системы Microsoft и другие программы обрабатывают популярный формат изображений JPEG, и позволяет злоумышленникам создавать графические файлы, запускающие злокачественную программу на компьютере жертвы в момент просмотра изображения. Ввиду уязвимости браузера Internet Explorer пользователи Windows могут стать жертвами атаки, просто посетив веб-сайт с нехорошими картинками.

Эксперты встревожены степенью опасности этого дефекта и предупреждают, что за соответствующим вирусом дело не станет. «Вероятность атаки очень высока, — говорит менеджер по антивирусным исследованиям McAfee Крейг Шмугар. — Однако надо сказать, что кода proof-of-concept мы пока не видели». Такой код иллюстрирует, как можно использовать пробелы в защите, и обычно появляется вскоре после того, как производитель ПО публикует поправку для своих продуктов.

Дефект проявляется в разных версиях, по крайней мере, дюжины приложений Microsoft и операционных систем, включая Windows XP, Windows Server 2003, Office XP, Office 2003, Internet Explorer 6 Service Pack 1, Project, Visio, Picture It и Digital Image Pro. Компания привела полный список уязвимых приложений в рекомендациях на своем веб-сайте. Windows XP Service Pack 2, который еще не поступил на компьютеры многих заказчиков, не подвержен этой опасности.

«Проблема в том, что (дефектная функция) входит в состав многих поставляемых продуктов», — говорит менеджер по программе безопасности центра реагирования на инциденты Microsoft Стивен Тулуз. По этой причине Microsoft пришлось создать отдельный инструмент, помогающий заказчикам обезопасить свои компьютеры. Пользователи Windows Update получат также инструмент Office Update, а затем инструмент, который ищет и исправляет изображения и графические приложения. Эти инструменты служат примерами того, что компания намерена предлагать в будущем, сказал Тулуз. «Мы слышим от заказчиков, что для них важнее всего, чтобы процесс обновления ПО был максимально простым. Цель универсального механизма обновления как раз в этом и состоит».

Дистрибьюторы Linux уже разработали такой универсальный механизм обновления ПО, который исправляет не только операционную систему, но и другие приложения, выпускаемые сообществом open-source. Однако большинство Windows-приложений поставляется независимыми от Microsoft компаниями, что затрудняет создание подобной универсальной системы.

Ошибка обработки JPEG позволяет программе, спрятанной в файле изображения, исполняться в системе жертвы. Она не связана с другой проблемой изображений, обнаруженной в начале августа. Тот дефект, кроющийся в библиотеке общего кода для формата Portable Network Graphics (PNG), влиял на приложения под Linux, Windows и Apple Mac OS X. Оба формата — JPEG (Joint Photographic Experts Group) и PNG — широко применяются на веб-сайтах.

В рамках программы оповещения, которая проводится с апреля 2004 года, каждый заказчик, подписавший с Microsoft договор о неразглашении, получил предупреждение о баге JPEG с трехдневным опережением.

«Некоторые заказчики хотели получать больше информации в целях планирования», — пояснил Тулуз в ответ на сообщения о том, что привилегированные заказчики получают предупреждения о проблемах безопасности заранее. Он рекомендует заинтересованным заказчикам обратиться в местное представительство Microsoft за дополнительными сведениями об этой программе. Информация, которая передается участникам программы, ограничивается числом ошибок, затрагиваемыми приложениями и максимальной степенью угрозы, присвоенной этим ошибкам.

Баг обработки изображений JPEG — последний в череде пробелов в защите ПО Microsoft, ставший поводом для 28-го предупреждения в этом году. Microsoft часто включает в одно предупреждение несколько ошибок, так что в апреле, например, четыре предупреждения сообщали о 20 с лишним багах.

Вторая поправка, выпущенная Microsoft во вторник, исправляет ошибку в преобразователе файлов WordPerfect в Microsoft Office, Publisher, Word и Works. Эта ошибка расценивается как «важная», то есть имеет второй уровень опасности по шкале Microsoft, следующий за «критическим». Уязвимость позволяет злоумышленнику перехватить управление ПК жертвы, если пользователь откроет злокачественный документ WordPerfect.

Более подробная информация о второй ошибке содержится на веб-сайте Microsoft. Для загрузки поправки компания рекомендует заказчикам воспользоваться механизмом Office Update.

Предыдущие публикации:

2004-08-23

Ошибка в IE открыла новый способ заражения компьютера

В продолжение темы:

2004-09-23		Эксплойт использует графический дефект Windows
2004-10-03		Ошибка в RealPlayer делает возможными атаки через видео
2004-12-09		Дистрибьюторы Linux борются с уязвимостью графической библиотеки

Обсуждение и комментарии

	... 15 Sep 2004 9:16 AM
Пользователи IE! Не забудьте отключить jpg в Ваших броузерах!

	нц 15 Sep 2004 9:17 AM
И вновь начинается флейм, и мыслям так тесно в башках? ;)

	... 15 Sep 2004 10:33 AM
никакого флейма. искренняя забота о безопасности коллег :)

	... 15 Sep 2004 11:03 AM
А при чем здесь Linux?

	Поручик 15 Sep 2004 12:37 PM
> А при чем здесь Linux? А это типа "Зато у вас негров мучают"

	... 15 Sep 2004 12:41 PM
2Поручик: ну не установлен у меня ни Linux, ни bsd, ни solaris работаю в Windows тихо-мирно. какие негры, поручик?

	Well-wisher 15 Sep 2004 12:44 PM
Гм...Типа Линукса тут ни при чем ? :)

	... 15 Sep 2004 2:26 PM
2Well-wisher: равно как и Al-Qaeda c жидомасонами :)

	(80) 15 Sep 2004 2:39 PM
2..."равно как и Al-Qaeda c жидомасонами" Эт-та ыщо непонятна кто прохлопал ушами или СОЗНАИЕЛЬНО ДОПУСТИЛ ошибку в IE?!!! Так что может очень и при чем! ;)))

	... 15 Sep 2004 3:19 PM
и вообще - зачем в IE картинки? пусть работают, а не порнуху смотрят :)

	tstone - saldomail.ru 15 Sep 2004 3:28 PM
Это ж через какой проход надо писать, чтобы такую фичу соорудить. И этим программистам доверяют ядерное оружие.

	Alexander S. 15 Sep 2004 4:21 PM
В других новостях: "Картинки и PDF докменты представляют серьёзную опасность для Linux-ПК." Было такое, в августе. Как всегда, Микрософт опаздывает с инновационными технологиями: это-ж надо, поиметь комп через PDF или картинку! Ничего, догнали опенсорсников. Теперь интересный вопрос, который я уже задавал: для какой из ОС раньше появится эксплоит дырки в картинках? Поручик- молчать (насчёт дырки:)!

	Alexander S. 15 Sep 2004 7:26 PM
Пользователи Мозиллы под Windows! Не забудьте отключить BMP в вашем броузере! Из сборника советов заботящегося о вашей безопасности ...

	нц 15 Sep 2004 8:12 PM
http://www.theinquirer.net/?article=18460 SECUNIA SAID there are multiple "highly critical" vulnerabilities in Mozilla, including cross site scripting, manipulation of data, exposure of sensitive information and system access. баги уже пофиксены в новых (вчерашних) релизах. All these ten bugs ( 258005, 257523, 257314,245066,226669,256316,255067,250862,253942,231083,2357 81,254303) are actually fixed in mozilla 1.7.3

	xfs 16 Sep 2004 1:36 PM
2AS: да что вы говорите - догнали? так и вижу как этот вирус links заражает. 3 раза ха

	нц 16 Sep 2004 4:03 PM
5 раз ха.. lynx зовется браузер .. опечататся нельзя - это просто незнание, особенно если хотябы несколько раз запустить его из командной строки ;)

	нц 16 Sep 2004 4:06 PM
хотя пардон.. браузеров вы наплодили текстовых :) http://links.sourceforge.net/

	Black ANti-KDE.* 16 Sep 2004 4:12 PM
Linkы это "продолжение Lynx" и тем более что про картинки в в Lynx говрить не приходится.(он xv запускает). а вот links и кратинки может брать.

	Alexander S. 16 Sep 2004 5:32 PM
2 xfs, Lynx- это Неуловимый Джо. Как и Links. Их не догнать. Догоняют Мозиллу, FireFox, Opera, IE.

	Alexander S. 16 Sep 2004 5:33 PM
2 xfs, Вдогонку- а чем PDF документы в Линуксе читать будете, vi или ed-ом? cat тоже неплохо работает, да и more не подведёт.:)

	fi 17 Sep 2004 7:28 AM
xpdf, gv, acroread + KDE & GNOME свои клоны.

	Skull - sibskullmail.ru 17 Sep 2004 10:13 AM
2fi: тык и про ps2ascii Alexander S. не знает. :) Вот человек! Не знает про Linux нифига, а туда же, в штатные критики :)

	Alexander S. 17 Sep 2004 6:20 PM
Господам не понявшим вопроса про PDF, или прикинувшимся непонятливыми. В мае этого года Red Hat (знаете такого?) выпустил патч, который делает Adobe Acrobat Reader умолчательной аппликацией для чтения PDF документов. В августе этого года Red Hat сообщил, что PDF файлы открываемые с помощью Acrobat Reader могут заражать компьютер через переполнение буфера. С этим и был связан мой вопрос. Так что господа восхвалители Линукса вообще, о ситуации в делах Red Hat Linux в частности я, штатный критик, почему-то знаю больше, чем вы. Не ожидал я такого удивительного незнания банальных фактов прискорбной проблемы в Acrobat Reader, проблемы калибра картинок заражающих Linux-ПК. Так что, господа штатные защитники Линуха, учите матчасть. А то сядете в лужу, как один господин большой специалист по защите Линуха, написавший даже книгу об этом предмете, и получивший червя через sendmail на свой комп. Не пропатчился вовремя, считал себя умнее других. Так вот просто.

	Skull - sibskullmail.ru 23 Sep 2004 10:21 AM
2Alexander S.: у вас Linux ограничивается RH? Прискорбно! К сожалению, вы хоть и читаете много маркетингового булшита, реалий не знаете. А в реальности продукт Адобы мало кто под Linux использует...

← август 2004

10 12 13 14 15 16 17 20 21

октябрь 2004 →