[HaBo]

CubiC · 03.07.03, 10:20

Failté @ll,

gerade stöbere ich so über heise.de und bin dabei über den folgenden - meiner Meinung nach hoch interessanten - Artikel zum Thema "Buffer Overflows"gestolopert , den ich euch ungerne vorenthalten möchte.

zum Artikel

Regards,

CubiC

HighTower · 01.12.03, 13:38

Hatte auch mal son ding das geht über mp3 oder andere dateien aber nur wenn du sie selbst öffnest !!!

hab mal gehört es sollte sicherheits updates dazu geben aber wo hat jemand den link ???

HaBo Ads

TheVoid · 09.12.03, 18:55

ähm.. bullshit?

ich glaube kaum, dass es möglich ist, dass ein mp3 irgendeinen schaden auf deinem pc anrichtet. genausowenig wie jpegs oder irgendwelche videodateien.

HighTower · 09.12.03, 19:39

öhmmm da liegst du falsch schade das ich den link dazu nicht mehr finde aber hacker benutzen die art um an einen rechner zu kommen häufig kommt das vor bei winmx !!! also ich hatte schon paar mal son ding und erst jetzt weiß ich ganz genau was das war hatte immer gedacht windows spinnt mal wieder dabei waren es die mp3 datein die ich abspielte !!! geh mal nach winmx ne weile da siehst du was ich meine!!! vorsicht !!! dein rechner schmiert bei solch einer datei ab !!!
aber es gibt schon sicherheits maßnamen dagegen z.b der neue winamp 5 ist nicht mehr empfindlcih dagegen und für den Win media player gibs auch schon updates kannst ja mal gucken !!!

viel spass beim googlen wünsch ich noch ;-)

poiin2000 · 10.12.03, 11:03

Nullsoft WinAmp 2.x und 3.x IN_MIDI.DLL Pufferüberlauf

Datum : 09.09.2003
Vulnerability : WinAmp 2.x und 3.x IN_MIDI.DLL 3.01
Patch : http://www.winamp.com/download/
Exploit : http://www.securityfocus.com/archive/1/336669

http://aluigi.altervista.org/adv/winamp-midi-adv.txt

WinAmp der Firma Nullsoft ist ein populäres Freeware-Produkt für Windows, das für das Abspielen von Multimedia-Dateien entwickelt wurde. WinAmp 2.x und 3.x benutzt standardmässig ein Plugin namens IN_MIDI.DLL, um MIDI-Dateien abzuspielen. Die Version 3.01 und vorher beinhaltet einen Pufferüberlauf, den ein Angreifer durch das Setzen der "Track data size" auf 0xffffffff in der MIDI-Datei ausnutzen kann. Die Schwierigkeit beim Angriff besteht darin, dass er sich stets anders verhält, jenachdem welche Umstände gegeben sind (z.B. Drag und Drop, normales Öffnen der Datei, midiOut oder DirectMusic). Ebenfalls ist nicht genau vorhersehbar, wann der Pufferüberlauf wirklich greift. Dies kann einige Sekunden nach dem Öffnen der Datei oder erst nach dem Beenden von WinAmp sein. WinAmp 3.x lässt sich angeblich nicht konstruktiv ausnutzen; lediglich eine Denial of Service-Attacke ist somit möglich. Wie Thor Larholm in seiner Antwort auf Bugtraq schreibt, ist diese WinAmp-Schwachstelle auch remote durch HTML-Emails oder Webseiten ausnutzbar, sofern MIDI-Dateien automatisch in der Registry dem verwundbaren Player zugewiesen wurden. Ein funktionierender Exploit ist nicht bekannt - Die Vorgehensweise jedoch von Luigi Auriemma in seinem Bugtraq-Posting sehr genau erklärt. Ebenfalls weist er darauf hin, dass er die Entwickler von WinAmp frühzeitig mehrmals auf die Schwachstelle hingewiesen hat, diese jedoch nie reagiert hätten. Es ist zu erwarten, dass in einer kommenden Software-Version das Problem behoben sein wird. In der Zwischenzeit sollte man MIDI-Dateien mit einem anderen Player abspielen oder wenigstens auf WinAmp 3.0 updaten, um die Möglichkeit eines konstruktiven Angriffs auszuschliessen.

Einmal mehr eine Schwachstelle die demonstriert, dass auch harmlose und eher passiv erscheinende Software für konstruktive Angriffe ausgenutzt werden kann. Interessant an der besagten Lücke ist jedoch ihr Lebenszyklus bzw., dass Nullsoft sich bis zur Veröffentlichung der Schwachstelle nicht um sie gekümmert hat. Dies zeugt nicht wirklich von Kompetenz und Kundenfreundlichkeit.

quelle scip

Empfehlung

03.07.03, 10:20	#1 (permalink)
CubiC Member of Honour Registriert seit: 14.08.02 Likes: 0	Gute Info zum "buffer overflow" Failté @ll, gerade stöbere ich so über heise.de und bin dabei über den folgenden - meiner Meinung nach hoch interessanten - Artikel zum Thema "Buffer Overflows"gestolopert , den ich euch ungerne vorenthalten möchte. zum Artikel Regards, CubiC

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Buffer Overflow	MrNiceGuy	Code Kitchen	4	07.06.05 12:56
Buffer Overflow	ERit	Applikationen	0	24.04.05 15:24
Buffer Overflow Exploits	ERit	(In)security allgemein	0	24.04.05 15:19
BOF(BUffer Overflow) in Delphi?	Stromer	Code Kitchen	0	09.02.04 19:23
Buffer Overflow?	Bananshake	(In)security allgemein	13	12.02.02 19:40

01.12.03, 13:38	#2 (permalink)
HighTower Registriert seit: 30.11.03 Likes: 0	Hatte auch mal son ding das geht über mp3 oder andere dateien aber nur wenn du sie selbst öffnest !!! hab mal gehört es sollte sicherheits updates dazu geben aber wo hat jemand den link ???

09.12.03, 18:55	#3 (permalink)
TheVoid Registriert seit: 29.06.03 Likes: 0	ähm.. bullshit? ich glaube kaum, dass es möglich ist, dass ein mp3 irgendeinen schaden auf deinem pc anrichtet. genausowenig wie jpegs oder irgendwelche videodateien.

09.12.03, 19:39	#4 (permalink)
HighTower Registriert seit: 30.11.03 Likes: 0	öhmmm da liegst du falsch schade das ich den link dazu nicht mehr finde aber hacker benutzen die art um an einen rechner zu kommen häufig kommt das vor bei winmx !!! also ich hatte schon paar mal son ding und erst jetzt weiß ich ganz genau was das war hatte immer gedacht windows spinnt mal wieder dabei waren es die mp3 datein die ich abspielte !!! geh mal nach winmx ne weile da siehst du was ich meine!!! vorsicht !!! dein rechner schmiert bei solch einer datei ab !!! aber es gibt schon sicherheits maßnamen dagegen z.b der neue winamp 5 ist nicht mehr empfindlcih dagegen und für den Win media player gibs auch schon updates kannst ja mal gucken !!! viel spass beim googlen wünsch ich noch ;-)

10.12.03, 11:03	#5 (permalink)
poiin2000 Member of Honour Registriert seit: 06.03.03 Likes: 1	Nullsoft WinAmp 2.x und 3.x IN_MIDI.DLL Pufferüberlauf Datum : 09.09.2003 Vulnerability : WinAmp 2.x und 3.x IN_MIDI.DLL 3.01 Patch : http://www.winamp.com/download/ Exploit : http://www.securityfocus.com/archive/1/336669 http://aluigi.altervista.org/adv/winamp-midi-adv.txt WinAmp der Firma Nullsoft ist ein populäres Freeware-Produkt für Windows, das für das Abspielen von Multimedia-Dateien entwickelt wurde. WinAmp 2.x und 3.x benutzt standardmässig ein Plugin namens IN_MIDI.DLL, um MIDI-Dateien abzuspielen. Die Version 3.01 und vorher beinhaltet einen Pufferüberlauf, den ein Angreifer durch das Setzen der "Track data size" auf 0xffffffff in der MIDI-Datei ausnutzen kann. Die Schwierigkeit beim Angriff besteht darin, dass er sich stets anders verhält, jenachdem welche Umstände gegeben sind (z.B. Drag und Drop, normales Öffnen der Datei, midiOut oder DirectMusic). Ebenfalls ist nicht genau vorhersehbar, wann der Pufferüberlauf wirklich greift. Dies kann einige Sekunden nach dem Öffnen der Datei oder erst nach dem Beenden von WinAmp sein. WinAmp 3.x lässt sich angeblich nicht konstruktiv ausnutzen; lediglich eine Denial of Service-Attacke ist somit möglich. Wie Thor Larholm in seiner Antwort auf Bugtraq schreibt, ist diese WinAmp-Schwachstelle auch remote durch HTML-Emails oder Webseiten ausnutzbar, sofern MIDI-Dateien automatisch in der Registry dem verwundbaren Player zugewiesen wurden. Ein funktionierender Exploit ist nicht bekannt - Die Vorgehensweise jedoch von Luigi Auriemma in seinem Bugtraq-Posting sehr genau erklärt. Ebenfalls weist er darauf hin, dass er die Entwickler von WinAmp frühzeitig mehrmals auf die Schwachstelle hingewiesen hat, diese jedoch nie reagiert hätten. Es ist zu erwarten, dass in einer kommenden Software-Version das Problem behoben sein wird. In der Zwischenzeit sollte man MIDI-Dateien mit einem anderen Player abspielen oder wenigstens auf WinAmp 3.0 updaten, um die Möglichkeit eines konstruktiven Angriffs auszuschliessen. Einmal mehr eine Schwachstelle die demonstriert, dass auch harmlose und eher passiv erscheinende Software für konstruktive Angriffe ausgenutzt werden kann. Interessant an der besagten Lücke ist jedoch ihr Lebenszyklus bzw., dass Nullsoft sich bis zur Veröffentlichung der Schwachstelle nicht um sie gekümmert hat. Dies zeugt nicht wirklich von Kompetenz und Kundenfreundlichkeit. quelle scip


HaBo Ads HaBOT

[HaBo]

Gute Info zum "buffer overflow"