Java-Applet in GIFs

[Elderan]

Hallo,
hier ein sehr interessanter Artikel:
Spionagefotos, mal andersherum
Es geht darum, dass man in gif Dateien auch wohl JavaCode einbetten kann, der ausgeführt wird, sobald man das Bild betrachtet.

Leider ist dem Artikel, zumindest nach meinem Empfinden, nicht klar zu entnehmen, ob es eine gültige Gif Datei ist, die dann auch im Browser dargestellt werden kann, oder ob es nur ein Java Applet mit .gif als Endung ist.
Weiß jemand darüber was genaueres oder muss man da auf die Black Hat Konferenz warten?

Dafürsprechen würde

Ihrer Meinung nach seien aber Web-Anwendungen schuld, die sich allein auf die Endung der Datei verlassen würden, ob eine Datei erlaubt sei.

Wobei das Umbennenen von Dateien nicht wirklich neu ist.

 

[ChiefWiggum]

Original von Elderan
Hallo,
hier ein sehr interessanter Artikel:
Spionagefotos, mal andersherum
Es geht darum, dass man in gif Dateien auch wohl JavaCode einbetten kann, der ausgeführt wird, sobald man das Bild betrachtet.

Leider ist dem Artikel, zumindest nach meinem Empfinden, nicht klar zu entnehmen, ob es eine gültige Gif Datei ist, die dann auch im Browser dargestellt werden kann, oder ob es nur ein Java Applet mit .gif als Endung ist.
Weiß jemand darüber was genaueres oder muss man da auf die Black Hat Konferenz warten?

Dafürsprechen würde

Ihrer Meinung nach seien aber Web-Anwendungen schuld, die sich allein auf die Endung der Datei verlassen würden, ob eine Datei erlaubt sei.

Wobei das Umbennenen von Dateien nicht wirklich neu ist.

so wird nicht nur das Bild angezeigt, sondern die Java Virtual Machine (JVM) führt auch noch das eingebettete Applet im Kontext der aufgerufenen Seite aus

Wenn Heise das so richtig schreibt.

 

[Revenant]

Hm gehört hab ich das aber auch noch nicht. Sehr interessant... *bookmark*

[Update] Die Portale studiVZ, schuelerVZ und meinVZ sollen von dem Problem nicht betroffen sein, da nach Angaben von Nils Jünemann von StudiVZ in hochgeladene JPG-, GIF- und PNG-Dateien die Header auf Korrektheit überprüft und die Bilder anschließend in verschiedene Größen konvertiert werden.

Schade.. *grins*

Erm ja.. schon krass, auf was man als Webseiten Entwickler inzwischen alles achten muss...

 

[Chakky]

im forum wird doch erwähnt wie man es machen könnte....

jetzt würde mich das nur interessieren wie das imagehack macht die skalieren ja die bilder nich neu oder?

 

[Elderan]

Hallo,

Original von Chakky
im forum wird doch erwähnt wie man es machen könnte....

jetzt würde mich das nur interessieren wie das imagehack macht die skalieren ja die bilder nich neu oder?

also ich hab mir den Thread im Forum (So funktionierts ... von Stiflers.Mom) durchgelesen und ich bin davon nicht überzeugt.

1. Im Heise-Artikel steht:

Ruft der Anwender ein solches Bild auf, so wird nicht nur das Bild angezeigt, sondern die Java Virtual Machine (JVM) führt auch noch das eingebettete Applet im Kontext der aufgerufenen Seite aus

In dem Thread im Forum steht aber, dass der Angreifer das Opfer noch auf ServerB locken muss:

Auf ServerB eine HTML-Seite mit Applet-Tag erstellt:
<applet ... archive="http://ServerA/Gifar.gif" .../>

Dies steht aber nach meinen Ansichten im Widerspruch mit dem was der Heise Artikel sagt.


Dann weiter im orginal Eintrag vom Blog steht:

The GIFAR issue will not be patched at the time of the conference; however, a few of the required steps to exploit the issue will be held back until Sun has issued a patch that will protect users from this in the short term.

Der Angriff in der im Heise-Forum beschrieben wird ist ja sehr primitiv. Das Umbennen von Dateien in scheinbar harmlose Endungen ist schon lange bekannt und einfach nur den Header der Gif-Datei in das jar-Archiv zu schreiben wird es wohl nicht gewesen sein.

Der Exploit scheint aufwendiger zu sein, als der, der im Heise Forum beschrieben wird.

 

[Chakky]

ja machen könnte (ja den thread mein ich)

na da wollen wir mal abwarten was da noch so bekannt wird, könnte aber bestimmt diverse anbieter ins schwitzen bringen die ersten paar stunden nach bekanntwerden der genaueeren angabe