Дырку положили туда специально?

[vitus_wagner]

Некто Стив Гибсон (не знаю, кто такой, но говорят - эксперт по безопасности Windows) утверждает что по результатам его собственного анализа дырки, связанной с выполнением кода в wmf-файле, эта дырка не могла возникнуть в результате ошибки. Она была специально сдизайнена. По его утверждению, сделать так чтобы встретив запись длины 1 (хотя минимальная длина записи 3 - два слова длины и слово кода) с определенным содержимым, система начинала выполнять код, содержащийся непосредственно за этой записью, можно только специально.

Кто-то в Microsoft зачем-то захотел сделать возможность исполнения кода, содержащегося в графическом файле, при просмотре картинки.

Вот подобные-то вещи и приводят специалиста по Windows, который много лет был фанатичнчым сторонником Microsoft к соображениям о том что открытый код - лучше.

Comments

[wesha.livejournal.com]

Я только что запостил к себе - да, это совершенно однозначно backdoor, расчетливо сдизайненный так, чтобы случайно в него не залезли. И запускатор там явно присобачен не от балды - он и еще и тред отдельный под этот код создают!

Интересно было бы порыться в утекших исходниках Win2K на эту тему...

[vitus_wagner]

Вот будет забавно, если в исходниках дырки не окажется, а после сборки DLL MSVC 6 - она откуда ни возьмись возникнет. См тьюринговскую лекцию Кена Томпсона Должен же был кто-нибудь когда-нибудь реализовать троян Томпсона.

[blacklion.livejournal.com]

Только компилятор должен быть очень непростым. В смысле, не стоковый MSVC6. Я, как человек, не понаслышке знакомый как с DDK так и с FSDK (а эту штуку просто так одно время не давали) могу сказать, что винда собирается вовсе не тем компилятором, что продаётся. Не то что бы каким-то секретным, просто зачастую это версии промежуточные, не релизные.

[blacklion.livejournal.com]

Доступ к лекции не дають :(

[vitus_wagner]

На этом ACM-овском сайте хрен чего найдешь.
Здесь - дают.

[netch]

W2K неполные (~15%). NT4 полные. Если интересует - можно этот вопрос обсудить.

[antonm.livejournal.com]

Я читал, что такая уязвимость была в wine, можно порыться в его коде, но мне, например, не очень ясно как она туда попала.

[vadiml.livejournal.com]

насколько я понимаю, она не в самом wine, а в микрософтских библиотеках, которые доставлялись для запуска ie, mso, ...

[antonm.livejournal.com]

Т.е. wine без майкрософтовских библиотек такой уязвимости не содержит. Тогда всё ясно.

[http://users.livejournal.com/_iga/]

Нет, именно в самом Wine:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=346197
Несмотря на его открытый код.

[mikedin.livejournal.com]

насколько я слышал, эта "дырка" была сдизайнена во времена 3.1 для того, чтобы можно было прервать отрисовку больших картинок. так что в те времена это было полезно.
другой вопрос в том, что можно было позже и прикрыть, вот только в больших компаниях за такими вещами можно и недосмотреть... :(

а открытый код страдает своими недостатками. с линухом я уже натрахался по самое нибалуйся :(

[vadiml.livejournal.com]

у меня clamav где-то числа 6-го (после обновления) нашел вирус в wmf файле, который поставлялся с MSO97 Clipart (у меня на файл-сервере лежит полный дистрибутив), просто так в официальном дистрибутиве он появится не мог (да и еще в 97(!) году)

так что в ms впо такую возможность прекрасно знали и не забывали

зы если кому интересно, название файла могу привести, у меня в логах осталось, а сам файл я стер

[mikedin.livejournal.com]

вы так уверены, что в официальном дистрибутиве (у вас ведь есть лицензия наверно, если вы так говорите?) был вирус?? думаю, что крик по этому поводу в свое время должен был подняться нехилый. только я этого что-то не помню.

еще непонятно, как вирус, который использует дыру, найденную месяц (?) назад мог испольховать вирус, написанный в 97м... название вируса можете привести? можно ж наверно посмотреть - когда он был придуман. я сильно сомневаюсь, что в 97м

[besm6.livejournal.com]

Не найденную, а опубликованную. Fill the difference. И не месяц назад, кажется, а пару лет. Или это уже другая дыра?

[php-coder.livejournal.com]

>насколько я слышал, эта "дырка" была сдизайнена во времена 3.1 для того, чтобы можно было прервать отрисовку больших картинок.

Я читал об этом у thread2:

http://www.livejournal.com/users/thread2/tag/wmf

[mikedin.livejournal.com]

видимо под замком :(

[wom.livejournal.com]

открытый код возможно и лучше, но ведь перейти на него ой как не просто. Даже отбросив привычку и юзабилити

[besm6.livejournal.com]

А надо выбирать правильный открытый код. Когда, отбросив привычку, получаешь взамен юзабилити.

[wom.livejournal.com]

если бы всё можно было бы заменить открытым кодом

[vadiml.livejournal.com]

вспомнилась дыра в WindowsMediaPlayer, при вопросах о которой ms говорила обращайтесь в ФБР, а сами вопросы что-то быстро как-то утихли

[mortihead.livejournal.com]

Хм... а не поэтому ли Евросоюз так возбухнул против WindowsMediaPlayer в поставке Windows XP?
Становится интересно...

[http://users.livejournal.com/_nik_/]

Если дырка была сдизайнена специально так, чтобы никто на неё не наткнулся, то как наткнулся на неё эксперт?
Вирусов, использующих подобное появилось буквально на днях -- надо полагать, после сообщения эксперта.

[besm6.livejournal.com]

На то он и эксперт.

[mehos.livejournal.com]

Извиняюсь за ОФФ, но вам должно понравиться:)
http://www.livejournal.com/users/sham_deceitful/251902.html

[http://users.livejournal.com/_iga/]

Руссинович и некто John Graham-Cumming опровергают:

http://www.sysinternals.com/blog/2006/01/inside-wmf-backdoor.html
http://www.jgc.org/blog/2006/01/wmf-setabortproc-problem-is-not.html