Microsoft признала заразность картинок
Компания Microsoft распространила предупреждение о критической ошибке в Windows, которая позволяет изображениям, созданным особым образом, загружать вредоносный код. Эта ошибка (вызываемая переполнением буфера) была обнаружена в модуле, который используется Windows и другими программами для воспроизведения картинок в популярном формате JPEG. В число этих программ входят Internet Explorer 6, Office XP, Office 2003, Windows Server 2003 и многие другие пакеты от Microsoft, передает BBC News.
Хакеры могут получить доступ к управлению любым компьютером, на котором будет открыта картинка, "заряженная" определенным образом. Поскольку одной из уязвимых программ является "сам" Internet Explorer, существует возможность заражения вирусом при посещении сайтов с вредоносными изображениями.
Специалисты призывают всех потенциальных жертв этой ошибки установить "заплатку", размещенную на сайте Microsoft. Кроме того, уже создан сервис, позволяющий пользователям определить, уязвимы ли установленные у них программные пакеты. В то же время в заявлении Microsoft говорится, что те пользователи, которые установили пакет обновлений Service Pack 2, уже защищены от этой ошибки.
Ссылки:
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987) - Microsoft Security Bulletin MS04-028
September 2004 Security Update for JPEG Processing (GDI+)
Software bug raises spectre of 'JPEG of death' - New Scientist
Комментарий
Заразность картинок - это классическая байка, на которую издавна прохиндеи всех мастей ловили неопытных юзеров. Известны многочисленные "письма счастья", которые благополучно распространялись, используя страх пользователей перед тем, что просмотр безобидных на первый взгляд картинок может обернуться повреждением не только их программного обеспечения, но самих компьютерных "железок". В каком-то смысле картинки действительно могли быть источником опасности: например, благодаря тому, что по умолчанию Windows скрывает от пользователей расширение файлов, присланная по почте вредоносная программа могла "прикинуться" "особо ценной" порнографической картинкой и добиться своего запуска на исполнение. Другая известная история с "вредоносными" картинками связана с вирусом, который после заражения системы регистрировал безобидные "картиночные" расширения в Windows в качестве расширений исполняемых файлов, и таким образом становилась возможным пересылка и хранение вредоносного кода в файлах, имеющих расширение изображений. Но все-таки заразиться от самой картинки до сих пор считалось невозможным. Точно так же, как еще несколько лет назад казалось бредом и сущим обманом возможность заразиться от пришедшего по электронной почте письма, если его просто просматривать, а не открывать связанные с ним потенциально опасные вложения.
Но все течет, все меняется. Microsoft наконец удалось осуществить еще одну великую мечту всех хакеров. Вслед за письмами, в которые специалисты самой известной компьютерной корпорации научились встраивать никому не нужные скрипты, полезные только вирусописателям, настала очередь и картинок. С выходом Windows XP (насколько можно понять, в старых версиях Windows подобной "фичи" еще не встречалось) появилась возможность делать "заразные" картинки, и теперь весь Интернет, со всеми его сайтами, наполненными графикой, стал одной большой зоной повышенной опасности. Разумеется, за реализацию пока теоретически существующей возможности заражать нас картинками примется всякий, кто считает себя достойным звания "крутого хакера", и результат вскоре не замедлит сказаться.
Статьи по теме
Пакость замедленного действия
Где бы сейчас оказалась компания Forgent Networks со своим внезапно обнаруженным патентом на формат графических файлов JPEG, если бы начала выбивать отчисления за использование этого формата не 11 июля 2002 года, а, скажем, пять лет назад?
Предел патентной лихорадки
Интернет, резонно заметила судья, не есть одинокий центральный компьютер. А поскольку Интернет сам по себе не нарушает патента BT, компания Prodigy, предоставляя к нему доступ, также не может считаться виновной. Полная победа разума над Патентным бюро. Разочарованные юристы BT Group удаляются изучать 27 страниц судебного вердикта и думать, что им делать дальше. Занавес.
Присоединяйтесь к Матрице, мистер Курц
Компьютерные вирусы мутируют. Теперь они самодостаточны и почти не требуют человеческого участия. Их авторы смирили гордыню. Мы переходим из мира, где бедствия прорастали из идиотизма "личности в истории", в мир иной, где любая катастрофа записана в графе "методические указания" чьего-то бизнес-плана. Каждый вирус - эксперимент на миллионах. Цель игры - создание зомбированной армии. Жертва игры - Сеть как таковая.