Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 9.3.2004

Norton Anti-Viruksessa haavoittuvuus

Symantecin Norton Anti-Virus -ohjelmistosta on löytynyt haavoittuvuus. Se ei osaa tarkistaa ollenkaan tiedostoja tai hakemistoja, joiden nimessä on tietynlainen merkki. Norton Anti-Virus menee kumoon suorittaessaan virustarkistusta, mikäli tiedoston tai hakemiston nimessä on jokin ASCII-merkistön merkeistä 1-31. Esimerkiksi huutomerkki eli "!" tiedoston tai hakemiston nimessä laukaisee haavoittuvuuden.

Kenties omituisin piirre Nortonin haavoittuvuudessa on se, että tiedostojen tarkistus toimii moitteitta automaattisella menetelmällä. Vain manuaalinen tarkistus laukaisee haavoittuvuuden ja kaataa sovelluksen. Joka tapauksessa joko käyttäjä tai virus voi luoda koneen kiintolevylle hakemistoja ja tiedostoja, joiden tarkistus ei onnistu Nortonin manuaalisella tarkistustoiminnolla.

Lue juttu K2, 9.3.2004 00:02. Lähde: Security Tracker

Muita aiheeseen liittyviä uutisia

Kommentoi juttua



Aihe

Esikatsele kommentti
Kommentit ( 0 uutta / 19 )
pistettä.
Näytä vain kommentit joilla on vähintään
"!" ?
Anonyymi kommentoija, 9.3.2004 08:50:58		 Pisteet: 0
Vastaa
(Tulipa välimerkkejä otsikkoon... :)

Voisiko joku varmistaa tuon "!"-hakemiston toiminnan? Itselläni ei NAV:sta ole, muuten tekisin sen itse. Ai miksi? Jutussa sanotaan tuon toimivan kontrollimerkkejä (1-31) sisältävillä hakemistonimillä, mutta ! -merkin ASCII-koodi on 33.

Annettu "haitta"koodi on ZIP-paketti, joka sisältää itsestäänpurkautuvan RAR-paketin, joka taas sisältää "!" hakemiston jonka alla on hakemistoja joissa *oikeasti* on kontrollimerkkejä. Olettaisin, ettei tuolla ylimmän tason nimelä ole mitään merkitystä NAV:sen kaatumisen.

(Alle 2 kiloa tiedostoja 53 kilon paketissa - aika huono pakkausteho. Ehkä SFX ei ole aina paras vaihtoehto...)
"!" ?
Anonyymi kommentoija, 9.3.2004 11:01:57		 Pisteet: +1
Vastaa
(Tulipa välimerkkejä otsikkoon... :) Voisiko joku varmistaa tuon "!"-hakemiston toiminnan? Itselläni ei NAV:sta ole, muuten tekisin sen itse. Ai miksi? Jutussa sanotaan tuon toimivan kontrollimerkkejä (1-31) sisältävillä hakemistonimillä, mutta ! -merkin ASCII-koodi on 33.
merkin '!' ASCII koodi on 33 kymmenjärjestelmässä, mutta 21h heksadesimaalisessa muodossa. Joten voi olla että tuossa on tarkoitetu 16 järjestelmän muotoa mitä melko usein käytetään. Eli 1-31h vastaisi ASCII -merkkien 10 -järjestelmä arvoja 1-49. Ainakin uutisoinnista päätellen voisi asian olevan näin.
Re:
Anonyymi kommentoija, 9.3.2004 12:05:51		 Pisteet: 0
Vastaa

merkin '!' ASCII koodi on 33 kymmenjärjestelmässä, mutta 21h heksadesimaalisessa muodossa. Joten voi olla että tuossa on tarkoitetu 16 järjestelmän muotoa mitä melko usein käytetään.
Käytössä on useampikin keino heksojen merkkaamiseen (prefix 0x $ #, postfix h alaindeksi-16), joten ihmettelen kovasti jos hUNT3R ei tunne niistä ensimmäistäkään.(Voisihan tuo 31 olla sexagesimaalilukukin, 181 desimaalisena.) Mikäli kyseessä tosiaan olisi ASCII-koodit 1-49, niin hakemistojen nimissä ei voisi olla mitään seuraavista: " !"#$%&'()*+,-./01" mikä olisi takuulla tullut ilmi jo aiemmin.
Re:
K2, 9.3.2004 11:39:24		 Pisteet: 0
Vastaa
Voisiko joku varmistaa tuon "!"-hakemiston toiminnan? Itselläni ei NAV:sta ole, muuten tekisin sen itse. Ai miksi? Jutussa sanotaan tuon toimivan kontrollimerkkejä (1-31) sisältävillä hakemistonimillä, mutta ! -merkin ASCII-koodi on 33.
Jep, tätä minäkin ihmettelin. En kuitenkaan käynyt muuttamaan Security Trackerista löytyvän alkuperäisen tiedotteen tekstiä. Security Trackerin oma uutistiedote asiasta sen sijaan se vasta sekava olikin (hmmm, sitä on näköjään nyt korjattu).
Re: !
Anonyymi kommentoija, 9.3.2004 21:17:27		 Pisteet: 0
Vastaa
Voisiko joku varmistaa tuon "!"-hakemiston toiminnan? Itselläni ei NAV:sta ole, muuten tekisin sen itse. Ai miksi? Jutussa sanotaan tuon toimivan kontrollimerkkejä (1-31) sisältävillä hakemistonimillä, mutta ! -merkin ASCII-koodi on 33.
Securitytrackerin toimittaja on lukenut alkuperäisen tekstin huonosti (ja Sektorin toimittaja ei ilmeisesti lainkaan). Siinähän alkuperäisteksti on Securitytrackerin artikkelin alla: "tee hakemisto, jonka nimi on vaikkapa '!' ja sen alle tiedostoja tai hakemistoja, joiden nimissä on ascii-merkkejä 1-31; yritä skannata hakemisto '!' manuaalisesti" (mukaillen suomentamanani).
Re: !
Anonyymi kommentoija, 9.3.2004 23:28:21		 Pisteet: 0
Vastaa
Securitytrackerin toimittaja on lukenut alkuperäisen tekstin huonosti (ja Sektorin toimittaja ei ilmeisesti lainkaan).
ST:n toimittajaa puolustaakseni täytyy sanoa, ettei Gautamin äidinkieli selvästikään ole englanti, ja itsekin olisin suomenkielistä juttua varten käyttänyt mielummin tuota selkeää väärinymmärrettyä versiota epäselvän alkuperäisen sijaan. Maailmassa on monta järkevämpää hakemistonimeä "!":n sijaan (esim. "test") jos asia pitää saada selkeästi selitettyä.
Haavoittuvuus?
Anonyymi kommentoija, 9.3.2004 09:07:25		 Pisteet: 0
Vastaa
Hmmmm. ovatko kaikki sitä mieltä että tuon oikea nimi on "haavoittuvuus" eikä vain "bugi viruksentorjuntasoftassa"?
Re: Haavoittuvuus?
Anonyymi kommentoija, 9.3.2004 09:19:51		 Pisteet: +1
Vastaa
Hmmmm. ovatko kaikki sitä mieltä että tuon oikea nimi on "haavoittuvuus" eikä vain "bugi viruksentorjuntasoftassa"?
Hyvä huomio. Kumpikin ilmaus varmasti käy.

Tässä tapauksessa kun viruksentorjuntaohjelma jättää viruksen mentävän aukon niin on ihan perusteltua puhua haavoittuvuudesta. Torjuntaohjelmat kun ovat käytännössä ainoa keino mihin käyttäjät turvautuvat viruksen torjunnassa.

Vrt. "aukko maanpuolustuksessa."
Pisterajan alittavia kommentteja piilossa.
Re: vaihtoehto
Anonyymi kommentoija, 10.3.2004 02:20:52		 Pisteet: 0
Vastaa
suosikaa suomalaista F-Securea...
Siinä on toinen aivan paska virustorjunta ohjelma. Vie sairasti resursseja ja kaatuilee ihan itsestään kun pitäisi päivittää tietokanta.

Kasperskin 3.5 version olen todennut kokeilluista parhaaksi.

Ps. vaikka toi F-unsecure käyttää Kasperskiltä lisenssoitua virus hakua niin se jotenkin vaan ei tunnista noita yhtähyvin kuin AVP. Ovat mokanneet jotain pahasti.
Omituisia otuksia
Anonyymi kommentoija, 9.3.2004 13:12:29		 Pisteet: 0
Vastaa
"Version(s): 2002; version 8.00.58; possibly others"
"The Auto-Protect feature is not affected, the report said."

Eli kyseessä olisi nähtävästi tämä 'manual scan', oli sitten ajastettu tai ei. Kyseisen 'bugin' raportointi on muuten aika hirvittävän epäselvää. Jos joku saa testattua, hihkaiskaa.
Bullsia?
Anonyymi kommentoija, 9.3.2004 13:26:48		 Pisteet: 0
Vastaa
SecurityTrackerin sivulla oleva linkki exploittiin:
"A demonstration exploit is available at:
http://www.geocities.com/visitbipin/t est_nav.zip"

Kyllä ainakin mun 2002 toimi ihan oikein, havaitsi tuossa kyseisessä zipissä troijalaisen (en huomannut katsoa tarkemmin minkö).
simison Vänkää
simison, 9.3.2004 07:57:20		 Pisteet: 0
Vastaa
Huh, sitä on tullut luettua näistä haavoittuvuuksista jo sen verran (MS ;-) etten ihan heti käsittänyt kyseessä olevan vain pikkuruinen kikka kaataa softa. Toki tiukemmissa paikoissa tuo voi olla ongelmallista, muttei tietenkään Puuha Petterin kotikoneella.

Päässä kummittelee lausahdus; "...jota hyödyntämällä hyökkääjä voi suorittaa kohdetietojärjestelmässä omia ohjelmiaan."

Eiköhän liveupdate tuollekkin kohta korjauspäivityksen kolauta sisään. :-)
Epämukavaa? Sepä mukavaa.
Kotisivut & verkkoportfolio: http://www.ihminen.org
Opteron Mitäs pienistä :-)
Opteron, 9.3.2004 05:41:47		 Pisteet: 0
Vastaa
Täytyykin laittaa norton viikoittain automaattisesti tsekkaamaan kone läpi.
Aikasemmin käytin vain manuaalista tarkistusta, kun ajoitettu tarkistus meni aina päälle silloin kun se mulle huonoiten sopi :-)

No näihin haavoittuvuuksiin on jo sen verran tottunut ettei enään ole turhaa turvallisuuden tunnetta.
Varasta huijaripankkien kaistaa. http://aa419.org/vampire/ladvampire.php
(Muista ottaa selaimen cache pois käytöstä).
Re: Mitäs pienistä :-)
Anonyymi kommentoija, 9.3.2004 07:27:58		 Pisteet: 0
Vastaa
Täytyykin laittaa norton viikoittain automaattisesti tsekkaamaan kone läpi. Aikasemmin käytin vain manuaalista tarkistusta, kun ajoitettu tarkistus meni aina päälle silloin kun se mulle huonoiten sopi :-)
Ymmärsin että automaattisella tarkastuksella tarkoitetaan ns. realtime scannia. Toi ajastettu scannihan on vain manuaalinen skanni joka laukaistaan ajastimella.
Re: Mitäs pienistä :-)
Anonyymi kommentoija, 9.3.2004 08:01:48		 Pisteet: 0
Vastaa
Ymmärsin että automaattisella tarkastuksella tarkoitetaan ns. realtime scannia. Toi ajastettu scannihan on vain manuaalinen skanni joka laukaistaan ajastimella.
Eli jos oikein tulkitsen uutista, niin ei syytä paniikkiin, jos live update on ajantasalla virustietokannan suhteen ja realtime scan päällä. Silloinhan virus ei pääse koneelle ja ei ole syytä tehdä manual scannia :)
janilxx Re: Mitäs pienistä :-)
janilxx, 9.3.2004 08:15:28		 Pisteet: 0
Vastaa
Ymmärsin että automaattisella tarkastuksella tarkoitetaan ns. realtime scannia. Toi ajastettu scannihan on vain manuaalinen skanni joka laukaistaan ajastimella.
Eli jos oikein tulkitsen uutista, niin ei syytä paniikkiin, jos live update on ajantasalla virustietokannan suhteen ja realtime scan päällä. Silloinhan virus ei pääse koneelle ja ei ole syytä tehdä manual scannia :)
Jos uusi pöpö iskee kello 1, ja koneesi hakee uudet virustiedot kello 2, olisi parasta suorittaa manuaalinen scan (esimerkiksi kello 3). Muuten hukka perii kello 4.