[ Animált kurzorral támadható a Windows ]

Animált kurzorral támadható a Windows

  • 2007-03-30 02:08
  • Forrás: Microsoft TechNet
A Microsoft egy a Windows operációs rendszerben felfedezett biztonsági résr?l szóló figyelmeztetést tett közzé, mely szerint a hiba az eddig derekasan helyt álló Vistát is fenyegeti. A problémát az animált kurzorok kezelése okozza, egy speciálisan elkészített fájl az Windows Explorer folytonos újraindulását okozhatja, de potenciálisan akár távoli kódfuttatást is lehet?vé tehet.

Az animált kurzorok ".ani" kiterjesztéssel rendelkez?, rövid, egymás után következ? képsorozatok, melyeket a Windows animáció formájában az egérmutató statikus képe helyére illesztve jelenít meg. Egy most felfedezett hibának köszönhet?en azonban egy rosszindulatúan megformázott .ani fájl betöltése a Windows Explorer lefagyását és folyamatos újraindulását okozhatja, ebb?l az ördögi körb?l pedig néha csak a kikapcsoló gomb jelent kiutat.

A Microsoft már vizsgálja a hiba okát és amint lehetséges, kiadja a javításokat az érintett rendszerekhez, melyeknek sora egyébként a Windows 2000 SP4-t?l egészen a Vistáig tart. A szoftvervállalat néhány kiegészít? információval is szolgált a hiba kapcsán, ilyen például az a megjegyzés, hogy akik a Windows Vista Internet Explorer 7 böngész?jét védett módban - tehát alapértelmezett beállítások mellett - használják, védve vannak a web fel?l érkez? hasonló támadások ellen.

A hibát kiváltó .ani fájlokat a weben kívül még e-mailben is megkaphatjuk, ezért javasoljuk, hogy Microsoft Office Outlook, illetve Outlook Express/Windows Mail esetén állítsuk be úgy a levelez?programot, hogy minden üzenetet egyszer? szöveges formátumban jelenítsen meg. Ez a módszer egyébként is ajánlott, mivel így elejét vehetjük a HTML-levelekbe ágyazott szkriptek és képek automatikus betöltésének, miközben a levelek tartalma nem vész el - ha biztonságosnak ítéljük azokat, egy kattintással megjeleníthet?k eredeti formájukban is.

Az "animáltkurzor-hiba" egyébként nem újkelet?, a Microsoft 2005 elején már megküzdött a gonodsz egérmutatókkal, a javítás pedig bekerült a Windows XP Service Pack 2-be is. Az évek során folyamatosan változó kódban viszont valahogy megint el?bukkant a fenyegetés, így a redmondi programozókra ismét hosszú éjszakák várnak.

2007-04-13 19:19
Nagyon szeretném ha fekete lenne az alsó tálca hogy lehet azt megcsináni?
De ha jol ertem, itt nem is kell kurzort telepiteni -A VB cikke szerint- ahhoz, hogy kihasznaljak ezt a sebezhetoseget. Az Outlookrol meg csak annyit tudok, hogy plain text modban a csatolmanyokat nem jeleniti meg. Csak annyit olvastunk, h vegigfut rajtuk.
Összességében: óvatosnak lenni és figyelni a híreket. T?zfal be, meg vmi vírusirtó. Kész. Jóccakát.

2007-03-31 22:59
Nem hit kérdése, én csak az álláspontomat fejtettem ki, lehet vele vitatkozni, még az is lehet, hogy tévedek. De a VirusBuster ugyebár antivírussal foglalkozik, nekik tehát érdekük, hogy a felhasználó "féljen".

Egyébként én is olvastam TechNet-en, hogy tudomásukra jutott pár támadás, de még mindig "limited attack" kategóriában tartják, tehát nem vészes a dolog. Igazából én évek óta nem jártam olyan oldalon, ami kurzort akart volna telepíteni, de persze sosem árt óvatosnak lenni.
Most akkor kinek higgyek, én tudatlan user? Neked vagy a VBnek?
Lényegében tök mindegy, az igazság érdekel, az a legfontosabb számomra, más nem. Csakhát az informatikában vannak olyan dolgok amik több oldalról közelíthet?k meg (pl tesztek). Ez nem. Ez m?ködik/nem m?ködik, de most nemtom kinek higgyek. Józan ész szerint neked, mert a plain text 1x? szövegfájl, és nem is kell folytatnom.
De akkor mi ez a VirusBusteres hírlevél?

2007-03-31 22:40
Arra azért kíváncsi lennék, hogy egy plain textben hogy fut le támadó kód. Ilyenkor minden beágyazott objektum csatolmányként jelenik meg, ráadásul ezek többnyire a levélszemét mappába kerülnek (Outlook és Windows Mail esetén), ahol eleve blokkolt a szkriptfuttatás.
VirusBuster hírlevélb?l:
Több helyen is olyan célzott támadásokról számoltak be, amelyek egy,a Windows animált kurzorkezelésében felfedezett sérülékenységethasználnak ki. A Microsoft biztonsági közleményben figyelmeztetett aveszélyre. A baj akkor következik be, amikor a felhasználó ellátogat a támadóáltal el?készített weblapra vagy kinyitja a rosszindulatú kódottartalmazó e-mailt, illetve csatolmányt. Az a mód, ahogy a Windows azanimált kurzor (.ani) állományokat kezeli, sérülékenységet tartalmaz -ezt aknázza ki a támadás. Néhány site, amelyen rosszindulatú .ani fájlt találtak:wsfgfdgrtyhgfd.net85.255.113.4uniq-soft.comfdghewrtewrtyrew.biznewasp.com.cnEzek azonban csak példák - nyilvánvalóan jóval többwebhelyre telepítették a kódot.
A védekezés nehéz, mivel nem elég csak az .ani kiterjesztés?csatolmányokat kisz?rni. A rosszindulatú kód ugyanis kiterjesztést?lfüggetlenül m?ködik. Nem segít az sem, ha az Outlookot és az OutlookExpresst úgy konfiguráljuk, hogy "csak szöveg" (plain text)formátumban nyissa meg olvasásra az üzeneteket, hiszen az e-mailprogramok ekkor is végigmennek az .ani állományon, s ráfutnak atámadó kódra.
Lehet, hogy csak én vagyok nagyon maradi, de sosem birizgáltam a kurzorokat. XP-ben egy ideig fekete szín? volt (gyári), de Vista-sból az alap fehér nagyon korrekt.

2007-03-30 09:57
Természetesen letöltött témával is bejöhet, meg úgy is, hogy letöltesz egy .ani kiterjeszés? fájlt :-) Adatvesztést csak potenciálisan okozhat, mert a távoli kódfuttatás tudtommal még nincs bizonyítva. Az IE szerintem alapból rákérdez, ha egy weboldal kurzort vagy bet?típust akar telepíteni, tehát figyelmeztetés minden esetben lesz.

Egyébként én kezdetek óta plain text-ben olvasom a leveleket, megszoktam a konzolos bet?típust és nem kell a sok smile, animáció meg kutyafüle közül kibogarásznom, hogy mit is akart írni az illet?. Ha meg HTML-es hírlevél vagy egyéb megbízható dolog, akkor egy kattintás és betölti színesszagosan.
Igen, ezeknek en is ugy latom, hogy nincs nagy valoszinusege (a Windows Mailbol automatikusan futo alkalmazasokal es az IE7 navcancl.htm-jevel egyetemben). De foglalkozni kell ezekkel, mert csak azutan tunik ilyen egyszerunek a vedekezes, hogy olvastunk a hibarol (nem artana neha kepekkel is illusztralni a dolgot gyk :)). Hanyan olvassatok szoveges modban az uj leveleket? (Azert kicsit fapados dolog manapsag, ilyen erovel netezzunk kikapcsolt javaval es tsaival). Amugy ez adatvesztest is okozhat? Ugy nyitogatja az explorert, hogy el sem tudom menteni a dolgaimat? Ha letoltok valami uj temat abban is lehet ilyen kurzor? Egy uj level megnyitasakor azonnal betoltodik, vagy akar egyes weblapokon is? Minden webbongeszo es levekezo betolti oket magato?
Minden le van irva, hacsak nem gúny az amit írtál akkor ne fossál mojzi.
Kissé kicsi a valószín?sége annak hogy levében vagy neten találkozol egy ilyen kurzorral...
De ez új, moonman ezt is írta. Azt viszont remélem tudtad, hogy egy komponensben több (akár hasonló) hiba is el?fordulhat? A régit már rég kijavították. De most el?bukkant egy hasonló. Szerintem itt minden egyértelm?. Nem értem, hogy minek kezded megint a fikázást.

Panzer_Maus

2007-03-30 07:41
Kellemetlen és roppant veszélyes!

Mint ha moonman kolléga néhány napja azt monndta volna, hogy minden olyan problémát javítottak alapba a Vistaba amit az XP-ben már javítva volt. :)