Читайте Экслера, мой друг. Совсем недавно он выпустил великолепное пособие "Как вскипятить воду. Пособие для чайников". 500 000 знаков

Ж:-)

Мне больше понравилась недавняя серия "Как перестать программировать и начать жить" и "Как забыть С++ для начинающих".

Это уже не Экслер. :)

А еще...еще можно пользоваться текстовым браузером Lynx, работающим в Linux из командной строки и не морочить головы пользователям.
Херню какую-то пишут. Таких уязвимостей вагон и малая тележка - а туда же, "самая серьезная уязвимость за всю историю"... Бла-бла-бла...

Так ведь если не писать в каждой статье о прорыве канализации в доме номер пять по улице Тупик Коммунизма, что это самая кошмарная и душераздирающая катастрофа в истории человечества, то читатель может уйти в другое желтое издание. Читателю хочется причастности к событиям и остроты ощущений.

Я вот кстати не понимаю, почему нельзя писать про что-нибудь позитивное. Скажем там, рост ВВП на 6%. Вот и надо рассказать, как это зашибись глобально! Или там... ну я не знаю, происходит же в мире что-нить хорошее, ась?

не происходит

Да уж ладно. Вон во Франции осенью виноград собирают. И вообще.

Рост ВВП очень сложно преподнести душераздирающе и на мигающем шести цветами баннере. А канализацию - запросто. Тем более, что шесть цветов усугубляют необходимые позывы у читателя.

Материал жизнеспособный, но одноразовый. Иллюстрацию можно хорошую сделать: ВВП — в полный рост, в профиль и ан фас, фон — белый, с чёрными горизонтальными полосками, красным маркером обведён рост на шесть процентов.

Кстати, меня очень удивляет, что при курсе на удвоение ВВП в стране запрещены опыты по клонированию человека.

В статье о прорыве канализации можно тему Кр. Гебни раскрыть зато. Для НьюСру это может быть существенным аргументом.

Не, Кр. Гебня - это к Эху. А на НьюСру гораздо важнее раскрытие темы в международном аспекте. Поэтому уже из следующего сообщения мы узнаем, что сочувствие жертвам ужасной трагедии выразили президенты Замбезии и Конго, в Иране устроили минуту молчания по павшим в борьбе с мировым фекализмом, из Армении уже вылетела чрезвычайная бригада сантехников на помощь Петровичу, и лишь во Франции до сих пор парламент обсуждает вопрос о безвозмездном предоставлении пострадавшим пяти тонн духов "Канал номер пять" для нейтрализации запаха. В то же время российские ученые разработали новый, революционный тип канализации, обогнавший западные технологии на...

Так ведь это Бернард Шоу в свое время изрядно точно подметил, что:

"Газета - это печатный орган, не видящий разницы между падением с велосипеда и крушением цивилизации".

(газету подменить на журналиста)

Если речь об этом: http://www.securitylab.ru/vulnerability/243581.php, то вранье вот в этой строчке

> атака происходит путем внесения вредоносного кода в обычное изображение.

Речь только о WMF. На securitylab в комментах все разжевано.

>Уязвимость существует в "Windows Picture and Fax Viewer"
Я несколько сомневаюсь, что Просмотрщик изображений и факсов и браузер - это одно и то же...

Это различные программы, можете не сомневаться. ИЕ для отображения такой картинки будет использовать просмотрщик никого не спрашивая. Что будут делать другие браузеры - я не знаю, может будут спрашивать, чем открыть, может тоже что и ИЕ.

Сколько я знаю, IE для открывания картинки не использует сторонних программ, у него свои алгоритмы. Также и Мозилла, скажем, сама открывает, а не вызывает вам просмотрщик.

Еще раз, речь идет не об абстрактных "картинках", а о виндовозных метафайлах.
Флэшки в эксплорере никогда не смотрели? Для их отображения браузеры запускают плагин от макромедии.

WMF вообще не смотрятся, они выполняются. Это последовательность «родных» команд графической подсистемы Windows, сериализованная в файл. Существует системная функция play metafile, которая их десериализует и выполняет в некий девайс (экран, принтер, DirectDraw Surface, etc).

Писать свои просмотрщики WMF — довольно тухлая затея, они очень затейливо работают. Можешь у anev@lj за детали поспрошать, они этот формат поломать пытались, в лужу не раз присаживались :)

Метафайлы, в которых обнаружена уязвимость, кроме иксплорера вряд ли кто соберется показывать.
Но.
Это же статья в файненшнл таймс. Похуй, что за три дня до НГ у нас про это все, кому положено, написали. Но ведь файненщнл таймс. Разве мы можем это игнорировать?
Так что иди и срочно ставь обновление от российского программиста. Пошел бы тогда к нам работать, может и не пришлось бы. А теперь всей планете пиздец.

Новость называется Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов (обновлено) (http://www.securitylab.ru/vulnerability/243581.php) бага в программе просмотра изображений Windows Picture and Fax Viewer, судя по отзывам, remote shell получается и на Opera'e и на фирфоксе, так что сарказм тут неуместен.

Мда, если файл переименован в .jpg работать эксплойт будет тока под IE.

пока я тут все писал, выше уже все давно разжевали.

Разве ослик использует Windows Picture and Fax Viewer для просмотра картинок из инета? У него, как мне кажется, вообще свои алгоритмы обработки...

Скачай cygwin
Скачай Metasploit Framework
Скачай эксплойт
И посмотри сам.

Забыли пункт
Спляши вприсядку.
Нафиг :)

Да-да, именно его. Насчет остальных браузеров не знаю.

тебе слова "Component Object Model" о чем-нибудь говорят?

Неа. ;)

Вообще да, пользуются, ибо нахуя велосипед изобретать?

Но дело в другом.

Дело в том, что это тыща-триста-писят-шестая дыра в отображении картинок, которая ни во что, кроме эксплоита и пары-тройки сайтов с демонстрацией эффекта, не выльется. Потому что нет механизма самостоятельного распространения, а без него массовости таки не получить.

Любой почтовый червь -- на порядки более массовая зараза.

А действительно серьёзный пиздец -- это черви типа MSBlast. Вот там механизм распространения как раз был великолепнейший. И результат был охуительный -- огромное число заражённых компьютеров в первые сутки и более десятка атак в минуту на выставленный голой жопой в Сеть компьютер на пике эпидемии.

Сколько байт может протащить и выполнить этот эксплойт? Хватит на то, чтобы разослать свою картинку всем юзерам по аддрессбуку? Вот тебе и распространение, почтовый червь … самосрабатывающий … А чтобы скачать с инета и выполнить произвольную прогу, так и совсем немного байт надо, функции-то все системные — и пжалста, ставьте на машину скрытую проксю-анонимайзер, рассылайте спам, размножайтесь по почте.

И эффект по понятным причинам будет существенно меньше, чем у "чистого" почтового червя.

Хм. Не всем понятным причинам. В чём загвоздка? «Чистый» — это который просит пользователя себя запустить?

Чистый -- это который использует дырку непосредственно в почтовой программе. Щёлкнул по письму -- словил червя (в OE такое было, ага). Чем больше условий червю требуется -- тем хуже он будет работать.

У меня вот аттачменты по умолчанию показываются просто иконками, и что мне этот червь?..

Хе. Так я говорю не про аттачменты, а про картинки в письме. Прямо в его HTML'ном нутре. Аттачменты — это MIME multipart/attachment, а вставленный в письмо контент — multipart/related. И «упомянутый» в теге img по протоколу “cid:”.

Дык, и HTML не у всех по умолчанию показывается.

… и видеорежим не у всех графический. Но статистике эти «не все» не сильно мешают ). В тобою же помянутом OE, небось, из multipart/alternative автоматически HTML выбирается. Office Outlook так и вообще не удивлюсь если лишние альтернативы херит, он письмо в объектном формате хранит, а не RFC-текстом.

Мешают-мешают. Чем навороченнее червь -- тем хуже он распространяется.

BTW, хоть один пример почтового червя, работающего через дырку в картинках был?.. Я чего-то ничего не могу припомнить. В AOL IM был червяк, но какой-то мёртворождённый совсем.

Да нету тут, имхо, никакой навороченности. Юзеры на OE + OLK как раз ЦА червя, с хорошей точностью. И показ картинок — детерминистический процесс. Главное, чтобы в Junk не ушло. Это по внешней линке картинки не кажут, а по cid'у я не слышал, чтобы блокировали когда-нибудь. Считалось, что безопасно.

В JPEGах, что ли? А я про ту дырку не знаю ничего. Но это повезло, что дырка дохлая оказалась, она же до сих пор не заткнута, ходи пользуйся. Патч невразумительный. GDI+ те не GDI, в одном месте не локализован. Кстати да, раз это дырка в GDI+ была, то, возможно, к мейлерам-то она отношения и не имеет. Отсюда и отсутствие червей. А power point презентациями особо не назаражаешь.

Хм, а интересно, как упоминавшийся где-то тут data execution protection дружит с thunks и другими случаями генерённого на лету кода, который хорошо бы выполнить? Пишется в отдельную страницу, разрешённую на write/execute?

Кстати, а что, если favicon для сайта в формате WMF отдать? :) Скушается?

Не-а. IE, подозреваю, вообще только ICO поддерживает. GIF/PNG понимают уже не все, JPEG -- кажется, вообще никто. Куда там WMF...

Не скушается.

ты хотел сказать чистого НЕ-почтового червя (типа Нимды, например)?

Нет. Даже по сравнению с червями, использовавшими дырку в OE, распространённость уже меньше.

С не-почтовыми червями даже и сравнивать нечего, ущерб на порядки отличаться будет.

даунлоадер трояна прекрасно помещается в картинку
так что по массовости и до мсбласт недалеко, если атаку граммотно организовать

можно прикинуть такой сценарий.
если предположить, что WORD\EXCEL для работы\отображения WMF используют тот же уязвимый COM-объект, то

1. юзер в инете просмотрел вредоносуню картинку.
2. вирус заработал
3. вирус создает с помощью OLE Automation вордовый документ
4. вирус копирует\формирует вредоносный WMF и вставляет его в документ
5. сформированный документ в качестве атача посылается всем из адрес-бука
6. многие получив документ от своего респондента не задумываясь его открывают
7. goto 2 ;-)

получится вполне нормальная такая эпидемия =) (к тому же, как писали ниже, все-таки почтовых клиентов которые автоматом показывают HTML тоже очень много и это тоже хороший такой путь распространения =))

2Апач: ты бы подправил пост, если и есть небольшое преувеличение в оригинальной статье, то не очень сильное (все-таки компьютеров под windows пока действительно большинство)

Почему нет механизма, можно просканировать адресную книгу и всем послать WMF-аттач с сабжем "как мы вчера бухали". В аутлуке аттач даже специально открывать не надо будет.

Хехе, мне пофиг, я под линуксом живу.

Микрософт выпустили патч от помянутой выше дырищи, настоятельно рекомендую:
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx