[DK2000]

@BAstiL:

Zitat

Also soweit ich das bis jetzt nachlesen konnte sind Windowsbetriebssysteme (außer Win SP2) und Office-Produkte von den Exploits angreifbar.

Das ist so nicht richtig. Schaue Dir man das Microsoft Security Bulletin MS04-028 an. Alle dort aufgeführten Microsoft Anwendungen sind davon betroffen. Sobald man sich eine solche Anwendung installiert, hat man das Problem über Umwege auch unter Windows XP SP2. Da auch die Visual Studio Versionen und das GDI+ aud dem Platform SDK betroffen sind, kann jede Anwendung, welche auf das GDI+ zurückgreift und eventuell seine eigene Version mitbringt, davon betroffen sein. Jede dieser Anwendung muss einzeln gepatcht werden. So richtig Sicher kann man sich da momentan nicht sein.

Allerdings die größte Gefahrenquelle ist momentan das Internet und die Browser, da es zu befürchten ist, das die meisten präparierten Bilder hier auf den PC gelangen werden. Von daher ist es wichtig, das die Virenhersteller und Mozilla.org (eventuell auch andere Browserhersteller) eng zusammenarbeiten und es ermöglichen, dass die Scanner ohne Probleme den Cache nach Malware durchforsten können.

EDIT: Mh? Seit ich mit dieser präparierten Datei intensiv bei mir experimentiert habe, funktioniert Firefox nicht mehr so ganz. Einige Links lassen sich nicht öffnen. Komisch. Auch der Link von EDragon führt bei mir ins Nichts.... Ob da jetzt ein Zusammenhang besteht, glaube ich zwar nicht, aber irgendwas stimmt hier nicht... nus was?

Nochmal: Das Problem mit Firefox lag nur daran, das ich den RAM Cache komplett abgeschaltet hate. Irgendwie lassen sich komplett ohne Cache einige Seiten nicht anzeigen.

Dieser Beitrag wurde von DK2000 bearbeitet: 23. Oktober 2004 - 11:46

[Rika]

@Bastil: Nicht daß ich wüßte. Wowereit. Denn Klartext für Cache und History ist auch Mherbenutzersystemen u.U. ein echtes Sicherheitsproblem.
Überarbeitet habe ich nur, daß GMail noch in die Ausnahmeliste kam.

Tatsächlich stellt das auch kein Problem dar, denn was schätzt du, was bei einem bekannten oder auch unbekannten Sicherheitsproblem im Browser zu erst da ist: Ein Update für den Browser oder eine entsprechende generische Signatur für den Virenscanner? Theoretisch und praktisch ersteres. Deshalb ist Scannen im Browser-Cache Zeitverschwendung und ist u.a. auch wegen benannten RAM-Platte-Cacheverhalten auch bei bekannten Signaturen nicht sonderlich zuverlässig.

P.S.: "ignore the entries in WinSxS""! - ist ja auch logisch, denn das ist ein DLL-Ordner vom .NET Framework, das explizit alte und neue Versionen mitführt. Nein, alte Versionen der Datei sind da kein Problem.

Dieser Beitrag wurde von Rika bearbeitet: 23. Oktober 2004 - 11:41

[Rika]

user_pref("capability.policy.policynames", "seite1 seite2 ...");
user_pref("capability.policy.seite1.Window.status", "allAccess");
user_pref("capability.policy.seite1.sites", "http://seite1.com http://www.seite1.com");
user_pref("capability.policy.seite2.Navigator.appName", "allAccess");
user_pref("capability.policy.seite2.sites", "http://seite2.de http://seite2.com http://seite2.org http://www.ich-glaub-ich.com");

Gibt auch 'ne nette Extension dafür (Policy Manager), aber die kann nur mit wenigen der möglichen Einschränkungen umgehen.

[EDragon]

@Rika wo steht das denn mit dem ignore...? Ich finde auf der Seite nur dies:

Zitat

Ignore files in directories like Windows\$NtUniinstallKBxxxxx\. These are old versions left behind for uninstal purposes.

Und im Scan Log steht folgendes:

Zitat

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1d
f_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll
  Version: 5.1.3102.2180

Also auch gescannt. Weiterhin hatte ich dich ja schon mal gebeten ein Tool zu bauen das es besser macht. Leider haste bis jetzt, trotz Zusage (?), nichts gepostet.

Mit dem Browser hat DK2000 m.E. Recht. Scanner-Hersteller und Browser-Hersteller sollten zusammenarbeiten.

[LoD14]

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Bloodhound.Exploit.13
File: C:\Dokumente und Einstellungen\Lord of Darkness\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XQRCP67\jpegcompoc[1].jpg
Location: C:\Dokumente und Einstellungen\Lord of Darkness\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XQRCP67
Computer: LAPTOP
User: Lord of Darkness
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Sat Oct 23 13:03:29 2004

das heißt doch, dass der den gefunden hat, aber nich runterkricht, oder?

[Rika]

1. Stand bis vor kurzem so da.
2. Weil ich ohne hinreichende Details, wie sie Microsoft nur diversen Security-Unternehmen zugänglich macht, nicht kenne. Ansonsten habe ich noch nicht die Zeit gefunden das Teil zu Reverse-Engineeren (Studium verlangt nun mal einiges an Zeit, andere Dinge werden auch nicht fertig).
3. Siehe das, was ich oben geschrieben habe - solch eine Zusammenarbeit wäre sinnlos. Außerdem würde es keinem Browser-Hersteller gefallen, grundsätzlich erst einmal alles auf die Platte zu schreiben, wieder einzulesen und erst dann zu rendern. Insbesondere mit mmap2(file,...) wäre das dann auch einfach nur pervers.

Dieser Beitrag wurde von Rika bearbeitet: 23. Oktober 2004 - 12:07

[Faith]

Zitat (BAstiL: 22.10.2004, 12:55)

z.B.
http://www.nod32.de/.../jpegcompoc.jpg (Browser, keine Erkennung)
http://www.nod32.de/.../jpegcompoc.zip (Archiv, Erkennung funktioniert)
<{POST_SNAPBACK}>

Die KAV 5.0.14 Pro Version erkennt dies nicht, wenn ich mit dem IE die Site aufrufe.

Hab dies an den Support geschickt, mal schauen, was die schreiben

Faith