Uwaga na pliki JPEG!

Użytkownicy systemów Windows i szeregu innych popularnych aplikacji powinni mieć się na baczności podczas przeglądania plików graficznych JPEG. Ostatni biuletyn bezpieczeństwa Microsoftu informuje o dziurze w sposobie przetwarzania tego niezwykle popularnego formatu przez szereg aplikacji oraz systemów operacyjnych. Zagrożenie luką zostało określone jako krytyczne. W ekstremalnych przypadkach, jej odpowiednie wykorzystanie może doprowadzić do błędu przepełnienia bufora i przejęcia zdalnej kontroli nad komputerem.

Na potencjalny atak narażeni są zarówno użytkownicy systemów operacyjnych Windows (między innymi Windows XP, Windows 2003 Server), jak i szeregu innych, popularnych aplikacji: pakietów biurowych Office XP, Office 2003, przeglądarki internetowej Internet Explorer 6 z dodatkiem Service Pack 1, programów Microsoft Visio 2002 i 2003, Microsoft Project 2002 i 2003, Picture It oraz Digital Image Pro (pełna lista zagrożonych systemów oraz aplikacji została zamieszczona w biuletynie bezpieczeństwa MS04-028). Użytkownicy systemu Windows XP, zaktualizowanego o dodatek Service Pack 2 mogą czuć się bezpieczni, o ile zainstalują poprawki do pozostałych, umieszczonych na liście aplikacji, z których aktualnie korzystają.

Niebezpieczny JPEG

Przykładowy plik graficzny w formacie JPEG, a pod spodem podgląd jego kodu. To właśnie tam potencjalny napastnik może umieścić niebezpieczny fragment kodu.

Przykładowy plik graficzny w formacie JPEG, a pod spodem podgląd jego kodu. To właśnie tam potencjalny napastnik może umieścić niebezpieczny fragment kodu.

Zauważoną lukę można wykorzystać dodając do pliku graficznego JPEG odpowiedni fragment kodu, który przy oglądaniu obrazka spowoduje błąd przepełnienia bufora i pozwoli na przejęcie zdalnej kontroli nad zainfekowanym komputerem. Ponieważ na ów błąd narażeni są również użytkownicy przeglądarki Internet Explorer 6 z dodatkiem Service Pack 1, niebezpieczeństwo może czyhać na nich również na stronach internetowych.

Kodu brak, ale już jest groźnie

Eksperci z firmy McAfee uspokajają, iż do tej pory nie pojawił się w Sieci kod, który umożliwiałby dokonanie opisanych powyżej działań. Ostrzegają jednocześnie, iż ze względu na popularność formatu JPEG oraz szeroki zakres aplikacji i systemów operacyjnych podatnych na błąd, potencjał takiego ataku jest bardzo wysoki. Przewidują także, że już niedługo będziemy mogli spodziewać się pierwszych przykładów wykorzystania niebezpiecznej dziury w sposobie przetwarzania plików graficznych tego rodzaju. Jak mówi Stephen Toulouse, security program manager z centrum Incident Response Microsoftu, największym zagrożeniem związanym z luką plików JPEG jest fakt nadzwyczaj dużej liczby podatnych na jej wykorzystanie aplikacji.

Łatka dla każdego

Biuletyn bezpieczeństwa MS04-028 opisujący problem z przetwarzaniem plików JPEG, poza listą podatnych na atak aplikacji i systemów, zawiera także odnośniki pozwalające na aktualizację i zabezpieczenie się przed potencjalnym niebezpieczeństwem. Użytkownicy korzystający z funkcji Windows Update, w razie potrzeby zostaną również skierowani do odpowiednich modułów, które pobiorą stosowne łatki na wykrytą dziurę. Dodatkowo, zaleca się użytkownikom odczytywanie wiadomości pocztowych jedynie w formacie tekstowym i unikanie wiadomości w formacie HTML, zawierających grafikę w formacie JPEG.

To już nie pierwszy raz

Pliki graficzne po raz kolejny stanowić mogą nie lada zagrożenie dla nieświadomych użytkowników. Na początku sierpnia informowaliśmy o błędzie w jednej z bibliotek obsługujących format PNG (pisaliśmy o tym szerzej w artykule "Pliki graficzne PNG mogą szkodzić"). Problem dotyczył wtedy zarówno systemów operacyjnych, z rodziny Windows, jak i dystrybucji Linuksa, a nawet systemów Mac OS X. Jak podkreślają niezależni eksperci, luka w sposobie przetwarzania plików JPEG nie ma jednak żadnego powiązania z wcześniejszymi problemami plików formatu PNG.


Zobacz również