faille windows via images JPEG

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Jim Rakoto » 01 Oct 2004, 19:20

Salut,

Une lettre pas piquée des hannetons adressée à Bill Gates
http://isc.sans.org/diary.php?date=2004-09-26

Extrait de cette lettre :
...MS04-028 is, perhaps, the epitome of bad technical writing -- the literary equivalent of spaghetti code. I?ve read through it far too many times, and I still understand far too little. Your ?GDI Scanning Tool? is worse than useless. Run it, and it tells you that you "may be vulnerable", and directs you to Windows Update and Office Update. Go to Windows Update and update everything you can find. Go to Office Update and do the same. Run the scanner again, and it tells you that you "may be vulnerable", and directs you to Windows Update and Office Update. Lather, rinse, repeat. [Which is why the ISC has made GDIScan.exe and GDICLScan.exe available. See http://isc.sans.org/gdiscan.php for details.]

What about those old gdiplus.dll files that we?re all finding in our Side-By-Side DLL directories? Are they a problem? Why are you updating sxs.dll? Is there vulnerable code in there, or did you just rig it to avoid using the bad code in older versions of gdiplus.dll? (Hey, if you had asked me years ago, I would have told you that this was a serious problem with your Side-By-Side implementation.) When a third party vendor wants to distribute a Microsoft DLL with their product, don?t they have to get permission from you? Wouldn?t there be a list somewhere in Redmond of the third party applications that have distributed vulnerable copies of gdiplus.dll? Can you tell us what they are?

Please stop treating your customers like idiots and give us information; information that we can use. In other words: Turn on the lights and open the door. We?re ready to come back upstairs now.


A traduire, je n'ai plus Systran sur Linux, tidju...

Un lien vers Symantec concernant trojan.Moo qui exploite cette faille
http://www.sarc.com/avcenter/venc/data/trojan.moo.html

Un autre concernant Backdoor. Roxe qui exploite la même faille
http://www.sarc.com/avcenter/venc/data/ ... .roxe.html

Trouvés sur le forum de Computercops

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Vazkor » 01 Oct 2004, 19:41

Bonsoir,
Le Chat Botté a écrit:et quand on a téléchargé la nouvelle GDI+ et remplacé toutes les dll GDI+ vérolées, ce que j'ai fait bien sûr, on est toujours pas à l'abri de l'exploit Sylvana... on fait quoi alors ?

On jette IE dans la cuvette des WC et on tire la chasse... et on utilise autre chose: Mozilla ou FireFox, c'est très bien, tu sais.

Le gdiplus.dll au fait, ça sert à quoi? Je ne l'avais pas sous Windows 2000. C'est un truc spécifique XP et autres dernières conneries commises par Microsoft

Comme lu à propos des majors, avant ils sciaient la branche sur laquelle ils sont assis, maintenant ils ont sorti la tronçonneuse. C'est ce que fait Bill Gates, pour l'instant. Il fait le jeu des solutions alternatives: Mozilla mais aussi OpenOffice et surtout Linux.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 01 Oct 2004, 19:45

Bonsoir isoj,

Heureusement que j'ai appris à déchiffrer le code RTF dès la maternelle. Mouaaarrrrffffffff
Ton scan est clean.
Le vgx.dll identifié est de la bonne version.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Jim Rakoto » 01 Oct 2004, 19:49

Salut,

suite de la quête d'info, sur le forum de dslreports, cette explication technique de VirtualLarry, sur la façon dont exploit fonctionne
et surtout pourquoi Mozilla n'est pas sensible

A numeric field in the file-format that contains the length of the comment is set to a number that is in fact lower than the shortest possible comment field, so when the GDI+ library processes it, it subtracts two from the number, leading to -2, which in hexidecimal is 0xFFFE, which somewhere in the code gets sign-extended to a 32-bit value, 0xFFFFFFFE, and then passed to a memory-allocation routine as an unsigned value, which tries to allocate 4GB-2 of RAM, obviously fails, and then the code starts to scribble-over stuff in the heap, because it doesn't check for an error in the memory-allocation.

It's sloppy code, pure and simple, that doesn't rigorously check for error conditions along the way, in order to properly and safely validate the file-format data it is recieving. This type of sloppy coding is all too common in MS software, and is exactly the type of thing that leads to exploits further down the line. When you are a programmer, "in the trenches", and you have to produce working functionality by a deadline, and are not tested on the basis of the security of those features, this is what happens. We've seen exploits in the past for nearly all of the various additional shell add-on features for Windows XP, and this is, IMHO, no different.

I question whether this code was ever singlely- and doublely- code-reviewed at all - unlike the Mozilla development process, which requires both an +r (review) and +sr (super-review), in order to be accepted into the source-code tree.

The fact is, the quality of the software-development process itself, is higher with Mozilla than with 95% of Microsoft software, IMHO. So many people don't seem to understand this, and think blindly that IE and other MS software is more vulnerable, simply because it is more popular or has greater market share. In the end though, it all codes down to one major thing - code quality, especially with an eye towards security, something that MS has never seemed to have until perhaps recently.


A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede isoj » 01 Oct 2004, 19:53

Merci Vazkor et bonsoir à tous.

isoj
ordinateur bureau 1 (dual boot)
Windows 98 SE/Ubuntu Dapper 6.06
ordinateur bureau 2
Ubuntu Hardy 8.04
isoj
 
Messages: 149
Inscription: 26 Mai 2004, 15:50
Localisation: Bretagne

RTF

Messagede Gargantua » 01 Oct 2004, 20:20

Bonjour la Radio Télévision Française,

Pour info d'un utilisateur XP SP2, voici le log du

Scanning Drive C:...
C:\Program Files\Fichiers communs\Microsoft Shared\Office10\MSO.DLL
Version: 10.0.6626.0 <-- Possibly vulnerable (Under OfficeXP only)
C:\Program Files\Fichiers communs\Microsoft Shared\VGX\vgx.dll
Version: 6.0.2900.2180
C:\WINDOWS\$NtServicePackUninstall$\sxs.dll
Version: 5.1.2600.1106 <-- Vulnerable version
C:\WINDOWS\$NtServicePackUninstall$\vgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3 w/IE6 SP1 only)
C:\WINDOWS\ServicePackFiles\i386\sxs.dll
Version: 5.1.2600.2180
C:\WINDOWS\ServicePackFiles\i386\vgx.dll
Version: 6.0.2900.2180
C:\WINDOWS\system32\sxs.dll
Version: 5.1.2600.2180
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13\GdiPlus.dll
Version: 5.1.3097.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\GdiPlus.dll
Version: 5.1.3101.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll
Version: 5.1.3102.2180
Scan Complete.


Ce qui veut dire RAS.
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

La SOLUTIOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOON ?

Messagede Félix le Chat » 02 Oct 2004, 08:44

Bonjour,

1) il faut lire les mises en garde avec la liste de tous les programmes MS qui utilisent cette GDI+, mais ceux des tierces parties ne sont pas connus... après correction on colle la bonne sur la mauvaise et si on a pas la bonne on la télécharge et on colle...

2) reste le problème de l'exploit Sylavana, que MS refuse de corriger

"Apparemment, il n'entre pas dans les projets [de MS] de corriger avant Longhorn parce que, dixit Microsoft, ce n'est pas un problème de sécurité vu qu'aucun code n'est exécuté et que c'est "juste" un débordement de tampon" cf Jack

... et là c'est une bombe à retardement comme écrit sur le site websec "si MS ne se met en route que début novembre [comprendre 'si MS ne fait rien'], à la St Eloy il restera un ilôt de PC protégés au milieu d'un océan de PC vérolés"...

3) dans le log posté par Gargantua je lis 5 fois le mot vulnérable [oui je sais ça compte pas dans uninstall$], donc 3 dll GDI+ à écraser par une bonne, 1 vgx, 1 sxs, 1 MSO... on ne prend pas de risque avec une saloperie comme ça...

4) toute la littérature sur le sujet est bonne à prendre, mais nous savons tous nous servir d'un moteur de recherche, la seule nouvelle attendue est celle de la SOLUTIOOOON... d'où ma question lancinante que faisons nous pour obliger MS à se bouger ? [bien des gens comme moi, qui ont installé FF, utilisent quand même IE parce qu'avec une surcouche il offre des fonctions que n'offrent pas les alternatifs et de plus comme je l'ai payé je vois pas pourquoi il marcherai pas ? [là ça sent l'article 1641 sur les vices cachés]...

A bientôt, vous êtes tous formidables...
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Ne restons pas otages

Messagede Félix le Chat » 02 Oct 2004, 08:59

Je colle ici le texte posté sur websecu :

"Bonjour à tous,

Bonjour Jean,

Comme c'est votre site, je me permets de vous demander d'insérer dans vos pages, y compris celles-ci, un compteur incrémental qui indiquera depuis combien de jours combien de visiteurs attendent la solution que MS leur doit pour réparer l'exploit Sylvana...

Merci d'avance... Félix le Chat

SI l'XPditif fait de même, si tous les autres font de même... si tous les gars du monde... alors tout est permis...

"
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Vazkor » 02 Oct 2004, 09:07

Bonjour,

Pour faire bouger Kroko$oft, je ne vois qu'une solution.
Lui envoyer tous un message avec copie d'un numéro de licence valide en en demandant le remboursement pour vice caché ou vice de forme.
Depuis 1995 et son f*** Windows 95 nous attendons désespérement une version finale de Windows qui tienne la route, sans devoir lui coller quelques rustines par mois.
Nous ne sommes même pas des bêta-testeurs mais des bêtas tout courts d'avoir payé pour cette m***.

Et le pire c'est que des entreprises se fient à Windows pour leur gestion. Mouarffff.
Moi, j'men fous si mon PC se plante lamentablement (ce qui n'arrive pas sous W2k), il n'y a après tout que ma correspondance qui a un peu d'importance pour moi , mais je n'en mourrais pas même si je perdais tout mon carnet d'adresses.

Ah! que cela fait du bien de geuler un coup.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Un compteur d'otages c'est plus simple

Messagede Félix le Chat » 02 Oct 2004, 09:26

Merci,

... mais un compteur c'est plus simple à mettre en oeuvre dans un premier temps... et je pense que MS n'aimera pas ce genre de publicité...
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 33 invités

cron