iT邦幫忙

14

網頁圖片能暗藏攻擊?

  • 分享至 

  • xImage
  •  

瀏覽網頁時,瀏覽器會同時呈現圖形和文字,但據說如果檢視到有惡意企圖的JPEG圖檔,也會中毒,這是怎麼回事?這種病毒的名稱是?
根據微軟的說法,Windows XP SP2 是不受影響的,所以只要電腦的作用系統的版本是Windows XP SP2,並且一直都更新的話,應該是不會受到這個微軟的JPEG弱點所影響。

不只是圖片
針對這個JPEG漏洞,微軟為它編了一個正式的弱點號碼:MS04-028,所以相關的入侵程式被防毒軟體偵測到的時候,通常也會以這個號碼命名。

事情是發在2004年底,那時微軟公布了MS04-028 這個漏洞,裡面描述微軟的 GDI+元件在處理JPEG圖形的時候會有緩衝區溢位的問題,這個問題造成惡意程式碼如果夾帶在JPEG 裡面將有可能被執行。差不多在那個時候,有人把夾帶惡意程式的圖片放到Usenet上的新聞群組去,可想而知,就變成了一個資安的大事件。

JPEG圖為什麼會被放入惡意程式呢?圖不就是圖嗎?JPEG 是圖,但不只是圖,你沒看到的東西,不代表不存在。舉個相關的例子,現代人多少都用過數位相機,數位相機在產生JPEG圖的時候,通常都會在這張圖裡面儲存相關的EXIF,包含相機型號、拍照的時間日期等相關資訊,所以,JPEG圖不只是圖。

JPEG弱點的由來
不過,微軟 GDI+ 出問題的地方並不是 EXIF 的部分,而是跟EXIF 類似的 Comment(註解)部分,簡單的說,就是微軟的GDI+ 沒處理好JPEG的註解長度。註解在JPEG圖裡面是由0xFF 0xFE (Comment Maker)開始,後面接兩個 bytes的註解長度欄位,因為這個欄位所表示的長度也包含這欄位本身,所以如果註解的長度為0,那這個欄位的值應該要為2,也就是說,這註解的長度欄位最小應該是2,最大應該是 65,535,如果要取得註解本身的長度時,就是把這個欄位內的值減2,這是簡單且直覺的想法。

問題就是出在於當這個長度欄位值小於二的時候,假設這個值被惡意地設為0,那 0-2就會變成-2,2 bytes的-2是表示成0xFFFE,如果程式裡面用4 bytes 去解釋,它就會變成 0xFFFFFFFE,這會讓GDI+以為這張圖的註解有接近4GB 這麼長,將使得字串處理的時候,不小心把惡意程式放到可執行的地方,讀取這張圖的電腦將有可能被入侵。

其實只要在處理註解長度的時候,先檢查它是否小於2,就可以避免這個問題,這雖然是個小問題,但是卻造成很大的影響,對程式設計者來說,也是個活生生的教材,寫程式不可不慎

如果想對MS04-028這個漏洞有更多的了解,可以到網路上尋找相關資料,MS04-028相對的CVE編號是CVE-2004-0200,從Google也可以找到相關的資料。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
5min
iT邦好手 3 級 ‧ 2008-02-17 11:16:39

這技術在10年前,小弟在駭客討論區就可以拿到「圖片合體工具」

當時有一個很出名的木馬,叫做 SubSeven
可以自己設定這支木馬的所有屬性(跟PCanywhwre差不多)
而且還可以在當時的ICQ做主動通知(告訴你這台電腦上網了沒)
但是怎麼放到別人電腦?

所以就有圖片合體軟體,把這支病毒放在美女圖裡寄出去,一堆宅男看到美女圖根本不會猶豫,立即點兩下,打開美女圖同時也執行病毒!!

目前這種合體病毒仍是常見的手法之一喔!

0
lancehsiao
iT邦新手 1 級 ‧ 2008-03-23 11:02:20

foxy常常看到的手法,常常用foxy下載檔案以後一開就當機,內部不知道藏了多少病毒.包含影片,圖片都會有,難怪大家不推foxy

0
john651216
iT邦研究生 1 級 ‧ 2008-04-19 22:37:54

謝謝分享

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-24 18:41:36

又多學了一個知識

0
skite
iT邦大師 5 級 ‧ 2008-04-24 18:43:44

不只是foxy,一堆P2P軟體上都充斥著這類型的假檔,只要使用者一不小心,或是資安觀念稍有不足就中標了。

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-25 07:01:15

謝謝分享,不要亂點來路不明圖檔

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-25 10:34:02

感謝提供分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-18 00:08:13

謝謝分享

0
alexc
iT邦高手 1 級 ‧ 2009-06-10 09:59:50

感謝分享資訊

我要留言

立即登入留言