Blog

Zaktualizujte si Windows

19.4.2007 v 3:27 AM

Všimla jsem si, že se nám mezi blogery objevuje jeden takový ošklivý… nepěkná věc. Tu či onde (a pak ještě jinde, ale to teď nemůžů najít) si můžete přečíst, že blogeři neaktualizují Windows. Ba co víc – nabádají k takovému chování i své čtenáře. Dokonce se zdá, že v názoru na škodlivost aktualizací Windows jsou blogeři opravdu jednotní, což se jen tak nevidí. Ono je to sice moc hezké, že se aspoň na něčem ti sebestřední elitáři shodnou, ale situace je vážnější, než by se mohlo zdát. Dokonce i já, která do diskusí o Windows přispívám maximálně vysoce přínosnými hláškami jako „Nevím co řešíte, já mám Linux a jsem v pohodě.“, vám dnes řeknu něco jiného:

To neděláš dobře Jaromíre s těma aktualizacema, jednou se ti to vymstí.

Takže raději vážně: Ve Windows byla objevena chyba, jejíž závažnost byla označena jako *extrémně kritická*. Co to znamená? Zhruba tolik, že pokud nemáte aktualizovaný systém, tak obsahuje chybu, přes kterou může váš počítač někdo zvenčí ovládat. Stačí, když se Windows setkají se speciálně upraveným animovaným kursorem. Toho, že se tak stalo, si přitom nemusíte vůbec všimnout. Animovaný kursor je za normálních okolností zcela neškodná věc (něco jako hýbající se GIF obrázek – třeba točící se zavináč). Proto se vás žádný program nebude ptát o svolení a bez jediného varování jej načte dokonce i z internetu. Největší nebezpečí spočívá v tom, že animované kursory je možné vkládat i do internetových stránek. Proto stačí abyste se byť jen na zlomek sekundy dostali na stránky, které tento změněný obrázek budou obsahovat a máte nepřítele uvnitř systému.

Jakmile se jednou povede chybný obrázek nahrát, může získat útočník úplnou kontrolu nad vašim počítačem. To znamená, že před šikovně napsaným programem vloženým do obrázku, vás neuchrání ani antivirus, ani firewall, ani další bezpečnostní mechanismy. Ty totiž může útočník „zevnitř“ vypnout aniž byste si toho všimli.

Protože chyba je přímo v jedné funkci operačního systému a na tuto funkci se spoléhá většina programů, které umí nějak pracovat s animovanými kurzory (internetové prolížeče, programy na prohlížení obrázků a další), bezpečně se nemůžete cítít ani pokud používáte tzv. alternativní programy.

Za zmínku určitě stojí i fakt, že chyba se vyskytuje nejen na nejčastějších Windows XP se servis packem 2, ale také na nových Windows Vista (těch, co na jejich bezpečnost máte říct „Wow“).

Máte ještě stále neodbytný pocit, že se vás to netýká? Tak v tom případě se koukněte na tuto stránku. Pokud se vám spustí kalkulačka, můžete počítat s tím, že by vám místo ní mohl teď běžet v počítači méně nápadný, ale daleko nebezpečnější program. A ještě extra bonus pro milovníky IrfanView: kursor.ani. Pro maximální zážitek doporučuji prohlédnout v oblíbeném prohlížeči obrázků.

Pokud se nic nestalo, nejásejte. Že nemáte Windows? Jasně, to je všecko OK, tak chvíli počkejte, já to tady dovysvětluju a pak se vám budu věnovat. Cože, že tetička Windows má? No jasně, tak poslouchejte taky… Takže kde jsme to skončili? Jo, že nemáte jásat. Zajisté chápete, že se nemůžu věnovat celý den tomu, abych sem umístila upravený kursor, který se dostane právě do vašeho systému. Ale věřte mi, že takových, co si ten čas udělají, se najde dost jinde. A asi vám nebudou spouštět kalkulačku…

Takže co že máte teď udělat? Odpověď máte v nadpisu článku.


P.S.: Pokud se sem nějakým zázrakem dostal odborník, který by mi mohl vysvětlit, jaktože tenhle exploit funguje i když je zapnutá DEP (data execution protection), tak nechť se prosím nestydí a o své znalosti se podělí. Dík.

Komentáře k článku:

Čtvrtek 19. 04. 2007 v 08:54

Taxem to zkusil a kalkulacka nic :-) Hura!

Čtvrtek 19. 04. 2007 v 09:49

Mne to odchytil NOD23 (pravidelne aktualizovany). Sikovnyy ;-)) (Exploit.IframeBof trojsky kon.)

Čtvrtek 19. 04. 2007 v 10:53

Ahojky Žirafko, první nic a druhý zabral avast, takže taky nic :-) krteczek

PS: máš někde ještě zápisník z Vilniusu?

Čtvrtek 19. 04. 2007 v 11:36

Avast mě ten kursor nenechal prohlédnout :)

Čtvrtek 19. 04. 2007 v 12:42

Můžu se odbornice zeptat…? Ten kurzor bývá vždycky s příponou .avi anebo na příponě nesejde?

Čtvrtek 19. 04. 2007 v 17:51

Tak čekám, až se nám, bezwindowsových, budeš věnovat :-)

avatar
geck
Čtvrtek 19. 04. 2007 v 22:53

Uuu. Parada, konecne nemusim spustat kalkulacku cez Start menu. Uz to mam v bookmarkoch. ;)

Pátek 20. 04. 2007 v 00:03

2Roj> Podle toho, co jsem se dozvedela o tvych Windows, tak je na ne tento exploit nejspis prilis moderni. ((-;

2Roman, Kukulich> Gratuluji vasim antivirum ke skvele praci. Doprejte jim za ti pravidelnou aktualizaci (-;

2krteczek> Ta zirafka, co psala zazitky z Vilniusu, to jsem nebyla ja… Obcas si nas lidi pletou. Jeji web muzes najit na adrese http://www.zirafka.info. Ale i tak te tu pekne vitam (-:

2Kahi> S priponou ANI. nikoliv avi ((-; Widnows rozlisuji typ souboru podle pripony, takze pokud ulozis soubor s vadnou hlavickou napriklad do ikonky .ICO, tak ti jej neotevre. Ale treba IrfanView je o neco chytrejsi, rekne ti, ze je to ANI soubor, zepta se te jestli ho chces prejmenovat a nasledne se z nej sesype. Jinak jsem taky experimentovala se zabalenim exploitovane ikonky do dll, ale bohuzel jsem skoncila na tom, ze vsechny nastroje, ktere jsem zkusila se sesypali, kdyz se pokusili tu ikonku nacist. Slo by to nejak udelat rucne, ale s tim uz jsem nemela cas si hrat.

2Kaderas> Venovala jsem nekolik pohledu tve ikonce, ktera se mi tady nechce zobrazit. A vidim problem: beru ikonky z gravataru nebo z web/blogava­tar.png pokud exustuje (blogavatar.png pouziva bloguje.cz). Akorat ze u tebe na webu blogavatar.png neexistuje a misto, aby to hodilo chybu 404, tak to vraci index. Nechces si to spravit? (ted se divam, ze tady mam podobnou chybu… taky s tim musim neco udelat… achjo…) My bezwindowsovy ho taky nemame lehky, ze?! (-;

2geck> LOL (-:
a ten prohlizec, ktery se ti tim zavre, ten nepostradas? ((-:

Pátek 20. 04. 2007 v 08:34

Kalkulačka se mi nespustila (chytil ji AOL Active Virus Shield jako nějaký Exploit – malware či co) ale tu ikonku jsem si stáhnul a třikrát jsem se ji pokusil otevřít v irfanu – žádná otázka na přejmenování neproběhla. Žuchlo to hned. :)

Pátek 20. 04. 2007 v 10:53

BTW ta přípona je ani…

Pátek 20. 04. 2007 v 11:47

Koupil jsem za bratru 60 litrů notebook Sony-Vaio i s OS winXPpro. Jenomže měl anglický jádro a problémy s češtinou. V prodejně to „zkušeně“ přeinstalovali českejma Woknama a Mrkvochvosti mi terazky hlásej, že můj OS není legální. Moje otázka zní: Koho mám nakopat do pr*ele? Nebo si mám nafackovat před zrcadlem? Pozn.: Experti by si jistě snadno poradili, avšak já jsem only laik…

Pátek 20. 04. 2007 v 12:42

Tak já nic, ale to asi bude tema aktualizacema, co mam zapnuty.

Pátek 20. 04. 2007 v 19:41

@Teo, nejspis asi sobe :-) Vaio jsou dle meho nazoru vyhozene penize. Bezne poridis laptop s polovicnim podilem cena/vykon. Ale nema ten krasnej napis, to je fakt :-)

Pátek 20. 04. 2007 v 22:05

2Teo> nevim, zjistim ti to…

2Lokutus> Jen jestli za to nahodou nemuze Evropska Unie… (-;

2Roj> Laskave se mi tu nenavazej do komentarove sluzby, vzdyt vis, ze na novou verzi nemam, tak zkus skousnout tu soucasnou, jo?! ((-;

avatar
geck
Pátek 20. 04. 2007 v 22:19

2@Teo> Obavam sa, ze Windows, ktory ti tam v predajne nainstalovali skutocne nie je legalny. Windows sa predava vyhradne s hardverom. Tzn. ked si kupil Windows anglicky, priamo s notebookom, tak mas licenciu na prave ten Windows (hoci je anglicky). To ze ti tam predajcovia v dobrej viere nainstalovali cesky, je v podstate ilegalny krok, pretoze na cesky Windows licenciu nemas. (pripadne si skontroluj, co je napisane na tej srandovnej malej nalepke – EN alebo CZ?) To je teda aspon moja intepretacia toho ako funguje licencovanie MS. Ine pravnicke postrehy su vitane. Odporucanie nechaj si obnovit Windows od OEM dodavatela, on by ti mal tento problem pomoct vyriesit, pretoze ti defacto nedodal system so spravnou licenciou. Nie je Windows ako Windows.

avatar
@Teo
Sobota 21. 04. 2007 v 00:34

Roji, Vaio jsem kupoval ne kvuli napisu, ale pokrokove technologii displaye a dalsim parametrum, souvisejicim s tim, ze na nem delam predevsim grafiku. Wokna byla deklarovana jako ceska, ale s cestinou mela firma Sony problemy odjakmrtva. Ted jsem v Anglii a notebook mi pri radikalnim cisteni ukazal fakace… projevuje se to tak, ze pri startu mi napise hlasku, ze chybi soubor: system 32/hal.dll, abych ho nainstaloval znovu. Wokna nelze spustit v nouzovem rezimu ani v DOSu, takze budu muset pockat a vyhledat v Cechach experta, co pohrdave sykne a za 5 minut bude mit hotovo. Doufam, ze jsem pobavil i vas… ;)

Sobota 21. 04. 2007 v 11:34

Zajímavé, že to jde i přes DEP. Mělo by to ale jen crashnout, ne Ti dát shell.

avatar
Honza Marek
Neděle 22. 04. 2007 v 11:55

Ta mluvící žirafa vypadá moc pěkně…

Neděle 22. 04. 2007 v 20:14

2Mordae> no prave. to bych chtela, aby mi nekdo vysvetlil…

2Honza Marek> Diky za pochvalu.

avatar
milankowww
Neděle 22. 04. 2007 v 22:17

sice uz davno nie som odbornik a ani som nedisassembloval ten exploit, ale vysvetlit to viem. Ba co viac, dovolim si tvrdit, ze kazdy exploit sa da prepisat tak, aby fungoval aj pri nespustatelnom zasobniku.

majme klasicky exploit a spustatelny zasobnik. Exploit sa dostane do zasobnika aplikacie (skopiruje si ho tam ona sama, lebo je derava – zle naprogramovana). Prepise miesto vyhradene pre data, prepise na zasobniku ulozene registre a prepise navratovu adresu.

Rutina ktora tam tie data nakopirovala skor ci neskor skonci a chce sa vratit do nadradenej rutiny. Miesto toho ale skoci na adresu, ktoru sme podstrcili my, a to na zasobnik kam sme ulozili skodlivy kod.

Teraz si predstavme, ze zasobnik sa neda spustat. Co to pre nas znamena? Ze musime skocit inam. Tak v unixe mozme skocit do libc do rutiny strcpy(), ktora skopiruje exploit do pamati kodu a spusti, pretoze sa vrati na adresu, ktora je tiez na zasobniku… Alebo skocime na rutinu system() a program rovno spusti prikaz rm -rf / bez toho, aby musel zasobnik byt spustatelny.

Majme windows… Zmenenou navratovou adresou skaceme do vybranej casti programu, alebo do primapovanych dll-iek podobne ako navrat do libc v pripade unixu.

A ak ma windows ochranu proti takejto kulehe pomocou „canaries“? http://en.wikipedia.org/…g_protection#…

Úterý 24. 04. 2007 v 10:16

2WWW> diky za vysvetleni. Doufala jsem, ze se tu ukazes a vysvetlis mi to ((-:
Zjistil jsi, jak je to s tema Vistama?

avatar
Parcus
Středa 25. 04. 2007 v 15:07

No já nevím, ALE mě NOD32 UPOZORNIL

Sobota 28. 04. 2007 v 01:18

2Parcus> TO mas teda DOBRY

avatar
Kamzik-II
Sobota 28. 04. 2007 v 17:32

Nejsem blogger, ale windows taky aktualizovany nemam :) nicmene se mi nic nespustilo – antivirak taky nevedu, jedina ma „obrana“ je firewall kerio, ktery se ale taky neozval. Takze mi neni jasne, proc to nefunguje :)

S tim DEP by to mohlo byt take hlavne proto, ze DEP musi mit podporu v procesoru – to bude myslim ten hlavni problem :) nejsem si jisty, tohle by mely podporovat az itania a opterony, ale nechci mlzit, jsem liny si to vygooglit :)

Neděle 29. 04. 2007 v 03:00

2Kamzik> No opravdu hodne starych neaktualizovanych windows mi to taky nefungovalo. Ale rekla bych, ze by mohlo, kdyby kod vypadal prochu jinak. Kazdopadne konfigurace, se kterou se chlubis, bude obsahovat spoustu jinych zranitelnosti, takze nejasej predcasne…

avatar
page
Úterý 1. 05. 2007 v 21:38

A ono nic,

aktualizovano nemám ani nepamatuju a antivir nevedu.

Nevím jestli to neodfiltroval FF 2.0.0.3, protože to je jedina moje obrana před internetovými brouky… Jo a pak taky používám hlavu od většiny lidí na netu.

Sobota 5. 05. 2007 v 11:07

2page> Psala jsem jeden komentar nad tebou, ze na uplne neaktualizovane Windows to nefunguje. Zato si muzes bejt jistej, ze mas v systemu nekolik jinych podobne zasadnich zranitelnosti.

A jestli ma byt tenhle komentar dukaz toho, ze pouzivas hlavu, tak LOL (((-:

avatar
Jnd
Čtvrtek 10. 05. 2007 v 23:16

Na tomhle pc se před chvíli instalovaly nějaký aktualizace, takže možná to je důvod proč to v opeře nešlo, ale irfan mi tu kalkulačku otevřel :)