Отравляем приложения

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #045, стр. 045-052-3

Не думай, что только один осел не умеет правильно обрабатывать рисунки. Если ты используешь GTKSee версии 0.5.1 (или ниже), то специальное изображение с повышенной глубиной цвета может переполнить буфер твоей смотрелки. В качестве бонуса хакер получает право выполнить любой код под правами юзера, запустившего GTKSee. Наконец, даже базовая библиотека libpng не застрахована от уязвимости. С этой либой работает известный GD и другие полезные программы. Баг закрался в участке кода, который выдает сообщение об ошибке. Подставив хитрое изображение, библиотека получает доступ к неверному участку памяти, после чего аварийно завершает свою работу. Как следствие, убивается и вышестоящее приложение, которое юзает libpng.

Убийственный звук

Подумай, как забавно будет приколоться над другом, переполнив буфер в его Winamp’е. Да-да, и такое возможно. Для этого нужно сформировать обычный MIDI-файл с нестандартным заголовком. В хидере указывается длинное – это обязательное условие – имя композиции, что и компрометирует проигрыватель на оверлоад. Winamp не анализирует размер и при длине, равной 0xFFFFFFFF, уходит в даун. Вот пример хидера MIDI, который появился в advisory позднее анонса бреши:

Листинг

4 bytes MIDI Header "MThd"

4 bytes Header data size 00000006

2 bytes Format 0000

2 bytes Number of tracks 0001

2 bytes Divisions 0001

4 bytes Track Header "MTrk"

4 bytes Track data size ffffffff >--- bug

... "aaaaaaaaaaaaaaaaaaaaa..." >--- fun

Если ты повторишь подвиг авторов этого бага, то Winamp твоего друга отбросит копыта. А чтобы заставить его проиграть мидишку, скажи, что отрыл самый крутой саундтрек к мобилке и теперь рекомендуешь его всем. Друг поведется как ребенок и обязательно прослушает его ;).

Роковое видео

Не получилось со звуком – попробуем с видео. Недавний баг в восьмом WMP позволяет выполнять произвольный код в системе. Любой хакер способен создать специальный *.asf-файл, который исправно откроется и начнет проигрываться. В процессе этого в WMP переполняется буфер и выполняется произвольный код. К сожалению, никто из хакеров не уточняет причин, по которым плеер согласен слушаться злоумышленников. Однако не все так плохо: существует линк, позволяющий протестировать Винду на наличие бреши. Зайди на демонстрационную страничку (http://www.malware.com/once.again!.html), активирующую баг в проигрывателе. Если у тебя пропатченный WMP или девятой версии, то ничего, кроме счастливого смайла, ты не увидишь (это очень хорошо, поверь мне :)). В противном случае без твоего ведома откроется проводник с содержимым диска C:\.

Некоторые личности любят насмехаться, мол, только ламеры юзают WMP, достойные же люди выбирают RealPlayer. Насмешка необоснованна: в последних версиях этого мегаплеера затаилась брешь, позволяющая передать любой код. Хакер из забугорья может создать некорректный видеофайл, который искусно переполнит буфер и выполнит указанную команду. Склонность к оверлоаду обнаружена в обработке R3T медийных файлов. Уязвимы юзеры, которые загружают специально обработанный R3T plug-in. Хотя никаких эксплоитов к описанию бага не прилагается, опасность уязвимости признается высокой. Так что бегом на страницу производителя за новым релизом приложения, пока тебя еще не хакнули.