WinFuture-Forum.de: Kaspersky Personal - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 3 Seiten +
  • 1
  • 2
  • 3

Kaspersky Personal Keine Erkennung von Viren in *.jpeg

#16 _BAstiL_

  • Gruppe: Gäste

geschrieben 22. Oktober 2004 - 14:45

Zitat (Rika: 22.10.2004, 15:23)

Ein Browser cachet Daten sowohl im RAM als auch auf der Platte. Solange das JPEG nur im RAM liegt erfolgt kein Dateizugriff und somit auch keie Beschwerde durch $Virenscanner. Mit user_pref("browser.cache.memory.capacity", <Größe in KB, -1 = automatisch>); kann man dieses Verhalten beeinflussen.
<{POST_SNAPBACK}>


Danke, ich teste das mal

Für alle anderen nochmal detailiert:

Größe des Zwischenspeichers bestimmen

Um die Größe des Zwischenspeichers zu bestimmen, fügen Sie folgenden Code zu Ihrer user.js hinzu und passen ihn entsprechend an:

// Größe des Zwischenspeichers bestimmen (kilobyte):
// -1 = Dynamisch bestimmen (Normalwert),
// 0 = Keinen,
// Beliebige Zahl = Speicherkapazität in Kilobytes
user_pref("browser.cache.memory.capacity", 4096);

Edit/
Keine Änderung!

Dieser Beitrag wurde von BAstiL bearbeitet: 22. Oktober 2004 - 15:00

0

Anzeige



#17 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 22. Oktober 2004 - 15:17

Dann speichere mal im Firefox das Bild auf die Platte und vergleiche, ob es überhaupt noch identisch mit dem Original ist.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#18 _BAstiL_

  • Gruppe: Gäste

geschrieben 22. Oktober 2004 - 15:22

Zitat (Rika: 22.10.2004, 16:17)

Dann speichere mal im Firefox das Bild auf die Platte und vergleiche, ob es überhaupt noch identisch mit dem Original ist.
<{POST_SNAPBACK}>


Habe die Datei auf der Platte gespeichert, habe dann das Kontextmenü der Datei anzeigen lassen und schwups kam die Virenmeldung!
Was soll ich nun davon halten?
0

#19 Mitglied ist offline   EDragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.171
  • Beigetreten: 21. Mai 03
  • Reputation: 2

geschrieben 22. Oktober 2004 - 16:02

Wenn ich den RAM Cache auf null (oder auch andere Werte) stelle meldet der Scanner trotzdem nichts. jpg speichern ging vorher auch schon mit der Erkennung. Kapier gar nix mehr. ;)
0

#20 _BAstiL_

  • Gruppe: Gäste

geschrieben 22. Oktober 2004 - 16:16

Zitat (EDragon: 22.10.2004, 17:02)

Wenn ich den RAM Cache auf null (oder auch andere Werte)  stelle meldet der Scanner trotzdem nichts. jpg speichern  ging vorher auch schon mit der Erkennung. Kapier gar nix mehr.  ;)
<{POST_SNAPBACK}>


bei mir genauso! ;)
0

#21 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 23. Oktober 2004 - 00:40

Kann immer noch daran liegen daß der Browser-Cache ja verschlüsselt wird, je nach Dateigröße wird die zu cachende Datei dann ohne eine temporäre Zwischendatei direkt hineinverschoben.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#22 _BAstiL_

  • Gruppe: Gäste

geschrieben 23. Oktober 2004 - 05:51

Zitat (Rika: 23.10.2004, 01:40)

Kann immer noch daran liegen daß der Browser-Cache ja verschlüsselt wird, je nach Dateigröße wird die zu cachende Datei dann ohne eine temporäre Zwischendatei direkt hineinverschoben.
<{POST_SNAPBACK}>

Wie kann ich dem Firefox das abgewöhnen? Hast du eine Idee, wie man die Erkennung des Exploit im Browserfesster erzwingen kann?
user_pref("...?);oder ähnlich? ;)

hast du das nochmal überarbeitet?

Dieser Beitrag wurde von BAstiL bearbeitet: 23. Oktober 2004 - 06:17

0

#23 Mitglied ist offline   EDragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.171
  • Beigetreten: 21. Mai 03
  • Reputation: 2

geschrieben 23. Oktober 2004 - 09:54

Wenn ich das jetzt richtig sehe, wird, wenn der RAM-Cache aus ist, das jpg in den Browser-Cache der Festplatte Verschoben. Also findet ein Dateizugriff statt, den Kasper nicht meldet. Fehler in Kasper? Kann das ausgenutzt werden? Müssen wir nun ohne jeglichen Browser-Cache surfen?

Merkwürdig finde ich auch, dass FF in den Bildeigenschaften einen Fehler im Bild meldet, dieses aber dennoch anzeigt.

Eingefügtes Bild

Sieht für mich so aus, als ob nicht nur der IE ein Prob mit so was hat.
0

#24 Mitglied ist offline   EDragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.171
  • Beigetreten: 21. Mai 03
  • Reputation: 2

geschrieben 23. Oktober 2004 - 10:02

Zitat (BAstiL: 23.10.2004, 05:51)

Wie kann ich dem Firefox das abgewöhnen? Hast du eine Idee, wie man die Erkennung des Exploit im Browserfesster erzwingen kann?


Müsste man nicht eher im Kasper das Scannen von jpg Bildern erzwingen? Geht das nicht nur mit der Pro Version?
0

#25 _BAstiL_

  • Gruppe: Gäste

geschrieben 23. Oktober 2004 - 10:27

Zitat (EDragon: 23.10.2004, 11:02)

Müsste man nicht eher im Kasper das Scannen von jpg Bildern erzwingen? Geht das nicht nur mit der Pro Version?
<{POST_SNAPBACK}>


Das soll ja schon behoben sein, aber dies hilft wenig, denn der Browser legt die Dateien nicht vorher auf der Platte ab, bevor er sie anzeigt:
link

Fazit/
Bin dahingehend beruhigt, dass sich das Problem nicht nur auf meinen Rechner beschränkt, also wird wohl daran gearbeitet.
0

#26 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.571
  • Beigetreten: 19. August 04
  • Reputation: 1.436
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 23. Oktober 2004 - 10:59

Ich habe da mal mit meinem Virenscanner (AntiVir Personal) und der preparierten Datei etwas rumgespielt und muss sagen, die Datei wird nur in bestimmten Fällen erkannt.

Beim Internet Explorer wird die Datei garnicht erst angzeigt, sondern der Scanner findet diese und schlägt sofort Alarm (auch wenn der IE sich dann etwas komisch vorkommt, das eine Datei, die gerade noch da war, plötlich verschwunden ist).

Bei Firefox hat der Scanner keine Wirkung. Die Datei wird normal angezeigt und im Cache selber wird die Datei auch nicht als Virenbehaftet angezeigt, obwohl sie dort nachweislich war. Das liegt zu einem daran, das die Dateien im Mozilla/Firefox Cache keine Dateiendungen haben und somit ersteinmal vom Scanner nicht beachtet werden. Wenn man allerdings alle dateien scannt, wird auch nichts gefunden. Das hängt irgendwie damit zusammen, dass Mozilla/Firefox die Dateien ändert (die Änderungen lassen sich aber mit einem Hexeditor wieder rückgängig machen - so habe ich die entsprechende Datei letztendlich gefunden) und der Scanner das irgendwie falsch interpretiert und den Scan nicht auf die gesammte Datei ausdehnt.

Leider wird auch nichts erkannt, wenn sich das Bild innerhalb eines Worddokumentes befindet, obwohl der Virus nach wie vor in Takt ist. Auch hier schlägt der Scanner nicht an, was in so fern gefährlich ist, da das Problem mit der JPEG-Sicherheitslücke nicht auf Micsrosoft Betriebssystem oder Programme begrenzt ist. Jede andere Anwendung von Drittanbietern, welche JPEGs in Verbindung mit GDI+ verarbeitet, kann u.U. von diesem Problem auch betroffen sein und zu einem Sicherheitsproblem werden.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#27 _BAstiL_

  • Gruppe: Gäste

geschrieben 23. Oktober 2004 - 11:10

Zitat (DK2000: 23.10.2004, 11:59)

Jede andere Anwendung von Drittanbietern, welche JPEGs in Verbindung mit GDI+ verarbeitet, kann u.U. von diesem Problem auch betroffen sein und zu einem Sicherheitsproblem werden.
<{POST_SNAPBACK}>


Also soweit ich das bis jetzt nachlesen konnte sind Windowsbetriebssysteme (außer Win SP2) und Office-Produkte von den Exploits angreifbar. Es gibt regelrechte Baukästensätze um sich solch eine *.jpeg zu basteln und daher werden sich in absehbarer Zeit, über andere Programmgruppen auch ausführbare Codes einschleusen lassen. In anderen Foren wird auch darüber diskutiert und über den Support bei Kaspersky gesprochen. Es heißt Kaspersky arbeitet daran.
0

#28 Mitglied ist offline   EDragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.171
  • Beigetreten: 21. Mai 03
  • Reputation: 2

geschrieben 23. Oktober 2004 - 11:16

Alternatives GDI+ Scanproramm
http://isc.sans.org/gdiscan.php


Deckt dann, so viel ich weiß, schon mal Schwachstellen auch in Drittanbieter-Software auf. Leider behebt es nichts und man muss hoffen, dass die Hersteller reagieren. Ich habe vom Scanner gemeldetete fehlerhafte Drittanbieter-DLL's durch MS-DLL's, die als "sicher" gelten, ersetzt. Die entsprechenden Anwendungen funktionieren noch, deshalb dachte ich eigentlich das Prob damit behoben zu haben.

Tja, löst leider nicht das Browser-Problem. Und nach deinen Ausführungen muss Mozilla aktiv werden und das Format in dem Cache ändern?
0

#29 _BAstiL_

  • Gruppe: Gäste

geschrieben 23. Oktober 2004 - 11:22

Zitat (EDragon: 23.10.2004, 12:16)

Tja, löst leider nicht das Browser Problem.  Und nach deinen Ausführungen muss Mozilla aktiv werden und das Format in dem Cache ändern?
<{POST_SNAPBACK}>

Der Browser ist das Problem. Rika meint doch, dass der Browser-Cache nochmal verschlüsselt wird!? Mal sehen, vielleicht bringt die neue Version des FF ja eine Änderung.
0

#30 _BAstiL_

  • Gruppe: Gäste

geschrieben 23. Oktober 2004 - 11:24

Scanning Drive C:...
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Office10\MSO.DLL
Version: 10.0.6714.0
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VGX\vgx.dll
Version: 6.0.2900.2180
C:\WINDOWS\system32\sxs.dll
Version: 5.1.2600.2180
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1d
f_1.0.0.0_x-ww_8d353f13\GdiPlus.dll
Version: 5.1.3097.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1d
f_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll
Version: 5.1.3102.2180
Scan Complete.

und nun, soll ich die eine austauschen?
Edit/
Das ist doch schon die überarbeitete *.dll oder?

Dieser Beitrag wurde von BAstiL bearbeitet: 23. Oktober 2004 - 11:29

0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0