[Veiligheid] Windows gebruikers lopen groot risico!

[Enlightenment]

Deze bug is inmiddels opgelost, lees deze post.

Het wordt nu al de grootste bug allertijden genoemd: geïnfecteerd raken door een JPG-plaatje door het te bekijken, aan te klikken of een email aan te klikken die een dergelijk plaatje bevat.

Windows gebruikers van Windows versie 3.0 tot Windows XP en Windows Server 2003 zijn kwetsbaar voor de bug. De bug bestaat dus al heel lang, en heeft te maken met de manier waarop Windows omgaat met metainformatie.

Het SANS-instituut wijst op het gevaar en vraagt Windows-gebruikers de onofficiële patch te installeren die het lek dicht.

Om het lek te dichten kun je deze patch gebruiken:
wmffix_hexblog13.exe

De patch is geschreven door Ilfak Guilfanov, een van de betere Windows experts. Microsoft heeft tot nu toe nog geen officiële patch uitgebracht, maar gebruikers van Windows wordt aangeraden niet langer te wachten en het lek direct te dichten.

Bedankt voor jullie aandacht.

- Enlightenment

[Frostbite]

ik dig je avatar

[SuperSanne]

lekker dan

*download patch*

[Enlightenment]

Toevoeging: deze bug is extra ernstig omdat exploitcode is gepubliceerd en er al actief misbruik wordt gemaakt van deze bug, onder andere door emails die het plaatje HappyNewYear.jpg bevat.

[SuperSanne]

Ik hoorde net dat het vooral een plaag schijnt te zijn voor MSN-ers. Die krijgen een berichtje van zogenaamd iemand uit hun contactlijst waarin gevraagt word of je een plaatje wilt downloaden. De werkelijke contactpersoon zijn/haar computer is al geïnfecteerd. Was op het journaal
P.S. als dit digitale huftertje zich verstopt in een jpeg plaatje, zullen we binnenkort ook wel een versie voor de mobiele telefoon krijgen denk ik

[Enlightenment]

Mobiele telefoons gebruiken een ander soort besturingssysteem. Maar trojans voor mobiele telefoons zijn er al. Maar pas als UMTS met écht internettoegang zijn interede doet, zullen wormen/trojans op mobiele telefoons populair worden.

Tag verplicht in topictitel!

Citaat:

nare man schreef op 02-01-2006 @ 22:29 :
Tag verplicht in topictitel!

Toch maar even geinstalleerd.

Ja, ik las het vanmiddag al even maar ik stond er niet echt bij stil. Maar nu zie ik dat het hele internet zo ongeveer in rep en roer is (nouja, een beetje overdreven, maar toch)

[Enlightenment]

Citaat:

nare man schreef op 02-01-2006 @ 22:29 :
Tag verplicht in topictitel!

Serieus: volgens mij wordt het beleid wat ik heb ingevoerd destijds niet meer nageleefd. Zo ook de centrale topics op S&M.

Citaat:

Enlightenment schreef op 02-01-2006 @ 22:33 :

Serieus: volgens mij wordt het beleid wat ik heb ingevoerd destijds niet meer nageleefd. Zo ook de centrale topics op S&M.

't Is allemaal de schuld van onze nare man !!1!11!!!

Citaat:

Enlightenment schreef op 02-01-2006 @ 22:33 :

Serieus: volgens mij wordt het beleid wat ik heb ingevoerd destijds niet meer nageleefd. Zo ook de centrale topics op S&M.

Ja, daar is een melding over gekomen en ik heb besloten de announcements te herschrijven om ze meer aan te passen aan de nu gangbare praktijk. Ben ermee bezig.

[M@rco]

Ja, het is allemaal wat

Noem me maar eigenwijs, maar desondanks ben ik niet van plan om mijn OS te gaan verzieken met een of andere schimmige third party-patch.

[Enlightenment]

Citaat:

nare man schreef op 02-01-2006 @ 22:41 :
Ja, daar is een melding over gekomen en ik heb besloten de announcements te herschrijven om ze meer aan te passen aan de nu gangbare praktijk. Ben ermee bezig.

[Enlightenment]

Citaat:

M@rco schreef op 02-01-2006 @ 22:44 :
Ja, het is allemaal wat

Noem me maar eigenwijs, maar desondanks ben ik niet van plan om mijn OS te gaan verzieken met een of andere schimmige third party-patch.

Zal ik HappyNewYear.jpg dan maar in dit topic pasten?

Nee serieus je loopt groot gevaar op dit moment. Het is onverstandig te wachten totdat microsoft zijn kont heeft omgedraaid en ziet dat er stront aan de knikker is.

[SuperSanne]

ff serieus, kan dit geen sticky worden? Overal op het internet lijkt er regelrechte paniek uitgebroken te zijn. er zijn zelfs mensen die uit angst alleen nog maar zonder afbeeldingen durven te surfen e.d. Het is vast een geruststelling als ze deze patch zien

[M@rco]

Citaat:

Enlightenment schreef op 02-01-2006 @ 22:46 :
Zal ik HappyNewYear.jpg dan maar in dit topic pasten?

Nee serieus je loopt groot gevaar op dit moment. Het is onverstandig te wachten totdat microsoft zijn kont heeft omgedraaid en ziet dat er stront aan de knikker is.

Ban!

Ik mag aannemen dat MS al met een oplossing bezig is. Technisch gesproken is dit geen bug, maar een "feature" (zie hier). Ben benieuwd wat ze hieraan gaan doen, en wanneer.

Hoe kan het trouwens dat deze exploit ook via JPG-afbeeldingen gebruikt kan worden? Het gaat toch echt over WMF-bestanden...

[SuperSanne]

Citaat:

M@rco schreef op 02-01-2006 @ 22:50 :


Hoe kan het trouwens dat deze exploit ook via JPG-afbeeldingen gebruikt kan worden? Het gaat toch echt over WMF-bestanden...

(twilight zone muziekje...)

dat is het griezelige *kijkt schichtig om zich heen*

[Enlightenment]

Citaat:

M@rco schreef op 02-01-2006 @ 22:50 :
Ban!

Ik mag aannemen dat MS al met een oplossing bezig is. Technisch gesproken is dit geen bug, maar een "feature" (zie hier). Ben benieuwd wat ze hieraan gaan doen, en wanneer.

Ja nee remote code execution via metadata is een feature, nou wordt ie mooi!

"Geavanceerde technologie van Microsoft ondersteunt de nieuwste Trojan virussen!"

[M@rco]

Citaat:

Enlightenment schreef op 02-01-2006 @ 22:54 :
Ja nee remote code execution via metadata is een feature, nou wordt ie mooi!

"Geavanceerde technologie van Microsoft ondersteunt de nieuwste Trojan virussen!"

Le-zen.

Citaat:

When Windows Metafiles were designed in late 1980s, a feature was included that allowed the image files to contain actual code. This code would be executed via a callback in special situations. This was not a bug; this was something which was needed at the time.

The feature now in the limelight is known as the Escape() function and especially the SetAbortProc subfunction.

This function was designed to be called by Windows if a print job needed to be canceled during spooling.

Niet zo slim, maar ja. Het is iets van bijna 20 jaar geleden...

Citaat:

SuperSanne schreef op 02-01-2006 @ 22:53 :
(twilight zone muziekje...)

dat is het griezelige *kijkt schichtig om zich heen*

Ik ben er al achter: Windows herkent WMF-bestanden via een speciale "header" in het bestand, de extensie maakt daarbij niet uit. Alles is dus verdacht

[Enlightenment]

Ja dus? Alsof "bad design" geen bug is. Remote code execution in metadata is wat mij betreft een keiharde security vulnerability. Of ze dat destijds in hun grote wijsheid nu een goed idee vonden of niet. De keyloggers van de FBI/NSA (MagicLamp) zijn vast ook een 'feature', toch wil je ze echt niet op je PC hebben neem ik aan.

[M@rco]

Toen had het nut, en het werkt zoals het ooit is bedoeld, dus het is geen bug nee. Je spreekt van een bug als iets niet werkt zoals bedoeld. Ze konden toen toch niet weten dat er in 2005 een reusachtig internet zou zijn, vol met virussen en mensen met slechte bedoelingen?

[Enlightenment]

Het is maar welke definitie je er op nahoudt. Als je het de bedoeling vindt dat je bij het aanklikken van een bestand of het openen van een map er willekeurige code kan worden uitgevoerd verborgen in een bestand, dan is het geen bug nee. Maar waarom denk ik dat de meerderheid van de computergebruikers hier anders over denken?

[M@rco]

Tja, toentertijd was dat inderdaad de bedoeling. Tegenwoordig is zoiets natuurlijk niet meer wenselijk. Laten we het er maar op houden dat het gewoon een bijzonder vervelend iets is

[Enlightenment]

Een snoeiharde security exploit AKA BUG dus.

[Jolt]

Zolang mijn pc niet vastloopt, doe ik er niks mee

[M@rco]

Citaat:

Enlightenment schreef op 02-01-2006 @ 23:13 :
Een snoeiharde security exploit AKA BUG dus.

Ja hoor, wat jij wilt. Ik heb mijn standpunt gegeven en verder heb ik totaal geen zin in een bijzonder nutteloze discussie over wat het nu eigenlijk is. Als jij zo nodig het laatste woord wilt hebben dan kun je dat krijgen, ik ga lekker een DVD'tje kijken

[Enlightenment]

Daar kunnen ook veel 'features' inzitten hoor.

Nee serieus het is maar welke definitie je eraan geeft. Maar ik denk niet dat het destijds de bedoeling was dat je via internet geinfecteerd kon worden met een trojan horse. Er was destijds alleen niet aan gedacht. En de bug doet zich ook voor in Windows Server 2003, wat toch een recent product is met enig oog voor veiligheid. Dus in die zin kan het volgens de meest gangbare definities best een bug genoemd worden.

In elk geval is het een ernstig geval, waar microsoft hopelijk voldoende aandacht aan zal schenken. Exploits zullen zeker weten nog lange tijd bij ons blijven. Remote code execution in databestanden zijn de heilige graal voor virusmakers.

[SuperSanne]

Citaat:

Enlightenment schreef op 02-01-2006 @ 23:52 :
Remote code execution in databestanden zijn de heilige graal voor virusmakers.

Monty Python 2006

[M@rco]

Ik vond trouwens nog een filmpje ervan:

http://www.websensesecuritylabs.com/.../wmf-movie.wmv

Niet zo mooi. Uitkijken waar je op klikt dus.

[Wammus]

Ik kijk altijd al goed uit waar ik op klik en open geen mailtjes van vage onbekende personen met de melding: "Happy New Year". Ook ben ik niet zo achterlijk om de eerste de beste Jan lul te accepten in m'n MSN en ik ben al helemaal niet zo infantiel om op linkjes te klikken van een totaal onbekende die mij ineens berichtjes gaat sturen. Ben ik nu debiel als ik deze vage patch niet instaleer en gewoon netjes wacht op het antwoord van Microsoft?

[SuperSanne]

Citaat:

wammus schreef op 03-01-2006 @ 00:23 :
Ik kijk altijd al goed uit waar ik op klik en open geen mailtjes van vage onbekende personen met de melding: "Happy New Year". Ook ben ik niet zo achterlijk om de eerste de beste Jan lul te accepten in m'n MSN en ik ben al helemaal niet zo infantiel om op linkjes te klikken van een totaal onbekende die mij ineens berichtjes gaat sturen. Ben ik nu debiel als ik deze vage patch niet instaleer en gewoon netjes wacht op het antwoord van Microsoft?

Ja. Als je even een afbeelding moet googelen en het betreffende plaatje staat tussen de resultaten, dan krijg je er waarschijnlijk al heel snel spijt van.

Citaat:

Enlightenment schreef op 02-01-2006 @ 22:45 :
[afbeelding]

Aaaaawh

Zie het als een compliment dat ik op jouw basis wil voortbouwen

[Enlightenment]

Citaat:

wammus schreef op 03-01-2006 @ 00:23 :
Ik kijk altijd al goed uit waar ik op klik en open geen mailtjes van vage onbekende personen met de melding: "Happy New Year". Ook ben ik niet zo achterlijk om de eerste de beste Jan lul te accepten in m'n MSN en ik ben al helemaal niet zo infantiel om op linkjes te klikken van een totaal onbekende die mij ineens berichtjes gaat sturen. Ben ik nu debiel als ik deze vage patch niet instaleer en gewoon netjes wacht op het antwoord van Microsoft?

Stel ik had in dit topic het bewuste plaatje gepost, was jij al geïnfecteerd. Dus ja, je loopt wel degelijk groot risico. Of je de patch installeert moet je zelf weten, ik zou echter niet zo snel weten waarom je het niet zou doen.

[Enlightenment]

Citaat:

nare man schreef op 03-01-2006 @ 00:47 :
Aaaaawh

Zie het als een compliment dat ik op jouw basis wil voortbouwen

Jij verkracht mijn stringent beleid! Jij zou beter moeten weten, als jurist nog wel!

Nee hoor.
Je moet zelf kijken wat nodig is, en inspelen op de evolutie en ontwikkelingen die een dynamisch forum als deze brengt.

[Wammus]

Citaat:

Enlightenment schreef op 03-01-2006 @ 00:50 :
Stel ik had in dit topic het bewuste plaatje gepost, was jij al geïnfecteerd. Dus ja, je loopt wel degelijk groot risico. Of je de patch installeert moet je zelf weten, ik zou echter niet zo snel weten waarom je het niet zou doen.

Done.

Er stond in de End user agreement dat als de officiële Microsoft patch uit is me aangeraden wordt die te gebruiken. Moet ik dan deze weer uninstalen of is dat niet nodig en pakt ie automatisch de MS patch?

[Enlightenment]

Citaat:

wammus schreef op 03-01-2006 @ 01:13 :
Done.

Er stond in de End user agreement dat als de officiële Microsoft patch uit is me aangeraden wordt die te gebruiken. Moet ik dan deze weer uninstalen of is dat niet nodig en pakt ie automatisch de MS patch?

Dunno, maar het zou geen kwaad doen deze patch teuninstallen en daarna de officiele update te installeren. Zo weet je zeker dat het goed gaat.

[D@mien]

Ik kreeg er vandaag een mailtje over van de virusalert...niet gedacht dat et zó gevaarlijk was...aangezien ik niet zo'n sukkel ben die zomaar plaatjes met idiote extenties gaat openen...maar als ze et ook als jpg kunnen verpakken en gewoon in websites kunnen proppen dan is et wel degelijk ernstig...
Patch maar ff geinstalled..

Misschien ook wel slim om in dit topic ff te zeggen als de officiele patch uit is..dan kan ik deze weer uninstallen..

[Jolt]

bluf dat iemand hier dat beruchte plaatje post

[D@mien]

*houdt zich in*
zelfs een virusloos plaatje posten lijkt me een fout soort humor
de beste remedie:

[Wammus]

Citaat:

D@mien schreef op 03-01-2006 @ 03:26 :
*houdt zich in*
zelfs een virusloos plaatje posten lijkt me een fout soort humor
de beste remedie:
[afbeelding]

Meesterlijk.

[ekki]

Citaat:

Webwereld: 'Oudere Windows-versies niet kwetsbaar voor wmf-lek'

Dinsdag 3 januari 2006, 11:43 - Beveiligingsbedrijf Idefense stelt dat Windows 2000, ME en 98 niet kwetsbaar zijn voor het wmf-lek. De uitspraak staat haaks op de bewering van F-Secure.

Mike Hypponen van F-Secure stelt dat alle Windows-versies sinds eind jaren tachtig vatbaar zijn voor het wmf-lek. Idefense stelt nu dat alleen Windows XP (met SP1 en SP2) en Windows 2003 kwetsbaar zijn. Windows 2000, ME en 98 zijn dat niet, zo meldt beveiligingsexpert Larry Seltzer op zijn ZiffDavis-blog. Het bedrijf heeft Windows NT nog niet kunnen testen.

Inmiddels doet kwaadaardige code de ronde die misbruik probeert te maken van het lek. De bekende Windows-expert Ilfak Guilfanov wil een patch van Microsoft niet afwachten en heeft zijn eigen fix geschreven. Gebruikers wordt aangeraden deze bugfix (exe) te installeren.

Bron: http://webwereld.nl/articles/39111

Lang leve Apple!

[ekki]

Citaat:

NuncaMas schreef op 05-01-2006 @ 02:22 :
Lang leve Apple!

Lang leve linux!

[Enlightenment]

De Nederlande Waarschuwingdienst CERT-NL meldt dat een officiële fix voor de zeer kritieke WMF-vulnerability is uitgebracht. De patch lost het probleem op dat bij het klikken op een emailbericht of het bezoeken van een kwaadaardige website, er uitvoerbare code kan worden gedraaid op een kwetsbare computer.

Microsoft bevestigt overigens dat de kwetsbaarheid ook voor oudere versies van Windows van toepassing is. Windows 98, Windows 2000 SP4 en recente versies van Windows zijn kwetsbaar. Het is daarmee aannemelijk dat de uitspraken van Idefense, dat alleen bepaalde versies kwetsbaar zijn, onjuist is.

Het installeren van de patch kan via de volgende twee links. Mensen die de onofficiële SANS-patch hebben geinstalleerd dienen deze eerst te deïnstalleren.

Meer informatie:

• http://www.waarschuwingsdienst.nl/render.html?it=1315
• http://www.microsoft.com/technet/sec.../ms06-001.mspx

[CrazY G]

Hoe uninstall ik de sans patch.
Bij software verwijderen in config scherm, zie ik "Windows WMF Metafile Vulnerability Hotfix 1.2"
Is dat de patch?

Is het niet zo, dat ie met de Windows Update meekomt (zag ik).
de Patch die is geinstalleerd bij mij is van 5-1-2006 en ik had die SANS patch 2 dagen er voor geinstalleerd.

[M@rco]

Yep, als je gewoon zoals het hoort automatische updates aan hebt staan krijg je 'm vanzelf binnen.