Użytkownik "translatef" <translatef@o2.pl> napisał w wiadomości
news:e33opq$v3m$1@node2.news.atman.pl...
> Użytkownik "Michal Kawecki" <kkwinto@o2.px> napisał w wiadomości
> news:fkm03e.c1a.ln@kwinto.prv...
>> Użytkownik "Bartek Siebab" <bs@vt.pl> napisał w wiadomości
>> news:e2vhfb$2th$1@nemesis.news.tpi.pl...
>>>> Michal Kawecki w dniu 2006-04-29 12:25 pisze:
>
>> Poproszę o przykład exploita, który uruchamia się z pliku
>> nieobjętego listą domyślnie skanowanych rozszerzeń np. rezydenta
>> AMON w programie NOD32. Dla ułatwienia wylistuję tu tą listę:
>> ASP, BAT, CGI, CHM, CLA, CLASS, CMD, COM, CPL, CSC, CSS, DLL,
>> DOC, DOT, ELF, EML, EXE, HLP, HTA, HTM, HTML, HTT, INF, INI, JS,
>> JSE, LNK, MD?, MPP, MPT, MSO, NWS, OCX, OV?, PDF, PHP, PIF, POT,
>> PP?, PRC, REG, RTF, SCR, SCT, SH, SHB, SHS, SRC, SWF, SYS, THE,
>> THEME, VBE, VBS, VSD, VXD, WSC, WSF, WSH, XL?, {*.
>
> wmf
Dobry przykład, choć właściwie jest on oparty na wykorzystaniu dziury w
kodzie samego systemu. Ponadto dziura ta umożliwa uruchomienie obcego
kodu po otwarciu także innych typów plików graficznych, nie tylko wmf.
Ochrona przed tym exploitem nie polega więc na skanowaniu tych plików,
co byłoby IMHO niezmiernie czasochłonne i mało efektywne, tylko na
nadzorowaniu, co się po ich otwarciu dzieje. Tak zostało to w każdym
razie zaimplementowane w NOD32.
-- M. [MS-MVP] /odpowiadając zmień px na pl/Received on Mon May 1 15:05:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 01 May 2006 - 15:42:00 MET DST