Det ble nylig avslørt at Microsofts håndtering av grafikkfiler i jpg format har en sårbarhet som gjør det mulig å gjemme aktiv kode i bildene, slik at koden aktiveres ved å klikke på bildene når de vises i Microsoft programvare. Microsoft har publisert anvisninger for hvordan man skal tette hull i både operativsystem og applikasjoner – det er ikke nok å bare forholde seg til standard Windows-oppdatering. Se September 2004 Security Update for JPEG Processing.
Les også:
- [04.11.2004] Pengeinteresse tar over hos virusmakere
- [03.11.2004] Automatisk ormeblokk for bedrifter
- [21.10.2004] Bonanza for virusverner
- [13.10.2004] Microsoft: 22 nye sårbarheter
- [12.10.2004] Tre store dominerer antivirus
- [15.09.2004] Microsoft tettet alvorlige sårbarheter
Virusvernere og sikkerhetseksperter er enige i at det er et stort potensial for datakriminelle til å utnytte sårbarheten. Store virusvernselskaper som Symantec, McAfee og Norman har lagt inn ordninger for å avsløre forsøk på å utnytte sårbarheten.
– Vi har lagt spesifikasjonene til hullet i definisjonsfilen, slik at vi ikke behøver å overlate til Sandbox å avsløre jpg-virus, sier markedssjef Audun Lødemel til digi.no.
Samtidig er antivirusprogramvaren innstilt til å skanne også på jpg-filer. Er du i tvil om oppgraderingstilstanden hos deg, kan det være en ide å sjekke at antiviruset ikke hopper over jpg-filer.
I forrige uke ble det oppdaget at hackere har lagt ut kildekode til et verktøy for å lage kode som utnytter grafikkhullet, under merkelappen «JPEG of Death Creation Kit». Det tydet på at det var bare et spørsmål om tid før det dukket opp infiserte bilder.
Easynews, et amerikansk selskap som tilbyr tjenester rettet mot Usenet, snekret sammen en agent for å overvåket bildefiler lagt ut på Internetts mange diskusjonsgrupper. Søndag kveld, etter 36 timer, fikk de napp, og avslørte to jpg-filer med ondsinnet kode som øyensynlig var laget med det automatiserte verktøyet.
Easynews har karakterisert koden som et virus. Det er sikkerhetsselskapene uenige i, fordi koden ikke er i stand til å replikere seg selv.
Dette faktum, pluss det forholdet at det skal mye brukermedvirkning for å smittes – det er ikke nok å se på bildet i Internet Explorer, det må lastes ned lokalt og klikkes på i Windows Explorer (på norsk kalt «Windows utforsker») – gjør at Microsoft fastholder at det ikke er grunn til bekymring, ennå.
Sikkerhetseksperter understreker at mange forhold ligger til rette for at faren fort kan bli stor: Hullet er alvorlig, det er lagt ut kode som viser hvordan det kan utnyttes, det er lagt ut et verktøy som automatiserer arbeidet med å legge ondsinnet kode inn i jpg-filer, og det er tegn som tyder på at hackerverktøyene forfines.
Det er med andre ord all grunn til å være føre var.