26 июн. 2007 г.

Графические файлы в формате GIF могут быть небезопасными

Сотрудники организации SANS Internet Storm Center обнаружили на одном из сайтов в интернете GIF-файл с внедренным внутрь него вредоносным кодом.



Как сообщается, потенциально опасный файл был размещен в базе данных крупного онлайнового сервиса по хранению цифровых изображений. Эксперты подчеркивают, что в начале этого файла закодировано изображение одного пикселя, тогда как оставшаяся часть файла представляет собой вредоносный код на языке РНР. Теоретически вредоносные GIF-изображения могут использоваться с целью получения несанкционированного доступа к компьютеру жертвы. Для организации нападения злоумышленникам достаточно заманить пользователя на веб-страницу с размещенным на ней GIF-файлом. При открытии такой страницы вредоносный РНР-код, внедренный внутрь изображения, будет выполнен автоматически.

Специалисты SANS Internet Storm Center не уточняют, какие именно действия выполняет на машине жертвы обнаруженный ими GIF-файл. Неизвестно также и то, были ли зафиксированы практические случаи проведения атак с применением новой методики.

Нужно заметить, что киберпреступники достаточно давно эксплуатируют в собственных целях уязвимости в распространенных программных продуктах, связанные с особенностями обработки графических файлов. Например, еще около трех лет назад появились вирусы, распространяющиеся через дыру в модуле обработки файлов формата JPEG, входящем в состав различных продуктов Microsoft.


Источник: http://security.compulenta.ru/323227/


3 комментария:

  1. IMHO, какой-то бред. Под каким браузером происходит выполнение кода? Я ж так понимаю, это уязвимость на переполнение буфера? И причём тут php? от куда у пользователя на машине возьмётся php?

    ОтветитьУдалить
  2. Уязвимость (потенциальная) в исходной строке описана в следующем абзаце:

    "The second idea, but completely untested at this point, is that PHP
    will ignore everything else and just look for its delimiters. Which
    means, it would be a great method for a RFI attack."

    Как известно, RFI - это атака, связанная с УДАЛЕННЫМ ВКЛЮЧЕНИЕМ ФАЙЛОВ в удаленный код на сайте.

    Атаки подобного рода считаются достаточно опасными. Они предназначены для захвата контроля удаленного ресурса.

    В сети можно найти дополнительную информацию по вопросу.

    ОтветитьУдалить
  3. По ссылке, данной в начале статьи можно найти более развернутые объяснения возможным методам аттак. В основном, угроза стоит над серверами, а не над клиентами...

    ОтветитьУдалить