Nur für echte Hacker: der Windows pif-Bug

NeonZero · Mai 7, 2005

Ich habe vor einiger Zeit in den Tiefen des Windows XP-Sumpfs einen niedlichen, kleinen Bug entdeckt: Man nehme eine .pdf-Datei und benennt diese in .pif um. Geht der Explorer nun in das Verzeichnis, wo die Datei liegt, hängt sich der Explorer auf (100% CPU-Last). Dieser Effekt lässt sich auch mit alternativen Dateibrowsern nachvollziehen (Total Commander, etc.). Das geht aber nur mit pdf-Dateien.

Was sich damit alles anstellen lässt, brauche ich euch ja nicht zu sagen ? Viel wichtiger ist aber die Frage, was dort passiert ist: Handelt es sich womöglich um eine niedliche Schwachstelle, welche sich möglicherweise auch für eine andere (also nicht DoS-) Attacke eignet? Wer findet es heraus?

Bin auf eure Analysen gespannt ...

Bye, nz

Sunstepper · Mai 7, 2005

Notiz: Windows 4 (9x/me) ist scheinbar nicht anfällig.
Jaja, die schlechte alte DOS-Kompatibilität.

Gruß

Gravedigger · Mai 8, 2005

Bei mir auf Win XP (SP2) hat sich auch nichts aufgehangen.
Allerdings habe ich es nur über die DOS-Eingabeaufforderung geschafft die Datei wieder um zu benennen.

+++ATH0 · Mai 8, 2005

Allerdings habe ich es nur über die DOS-Eingabeaufforderung geschafft die Datei wieder um zu benennen.

Das liegt daran, dass die Anzeige bestimmter Dateinameerweiterungen von Verknüpfungen beim Explorer ausgeschaltet ist.

Welche wie:

*.lnk
*.scf
*.url
*.pif

...

Invicta · Mai 8, 2005

Original von NeonZero
Was sich damit alles anstellen lässt, brauche ich euch ja nicht zu sagen ? Viel wichtiger ist aber die Frage, was dort passiert ist: Handelt es sich womöglich um eine niedliche Schwachstelle, welche sich möglicherweise auch für eine andere (also nicht DoS-) Attacke eignet? Wer findet es heraus?

Rein theroretisch bräuchte man doch nur ein VB-Script schreiben, das aus irgendeiner Datei ein pdf macht und aus diesem anschließend ein pif. Oder muss die pdf-Datei dafür unbedingt funktionieren?

Dass so gut wie jeder in der Lage ist, entsprechendes Spielzeug mit VB-Script zu schreiben, ist wohl bekannt...
Aber vielleicht ist das ja kein Bug, sondern ein Feature?

Ich werde wohl einmal ausprobieren, was mein Windoof dazu sagt.

ich_bins · Mai 8, 2005

Hab XP mit SP2 und allen patches und es funzt net, also hängt sich nix auf

gruss...ich

Phuket · Mai 8, 2005

XP SP1 hängt sich komplett auf und lässt sich nur durch nen Restart retten, funktioniert also....

flame · Mai 8, 2005

Also bei mir (win2k sp4) stürzt beim VERLASSEN des Ordners der Explorer ab (CPU-Last 100%) läst sich aber mit dem Taskmanager wieder neustarten, das system ansich bleibt Stabil.

Ich hab mir das ganze mal mit Filemon angesehen, und da fällt mier auf, dass er beim aufrufen des ordners von allen Pif-dateien Informationen holt (Nur bei PIF) und einmal vergisst er die datei wieder ordentlich zu schließen.

Also:

Open
Query Information
Close
Open
Query Information
Query Information
Read
(Jetzt sollte geclosed werden)

---
Unterbrechung
---
Open
Query Information
Close

Warum das ganze allerdings jetzt beim verlassen des Ordners erst Auiswirkung zeigt weiß ich nicht.

Mich würde aber viel mehr interessieren, warum Windows die Pifdateien durchsucht. Zuerst dachte ich an den Virenscanner, aber der is unschuldig.