Toon posts:

[all windows] Fout in JPG render engine

Pagina: 1
Acties:

woensdag 15 september 2004 01:51

Acties:
  • megamuch
  • Registratie: Februari 2001
  • Laatst online: 08-12-2024

megamuch

Tring Tring!

Topicstarter
http://www.pcworld.com/news/article/0,aid,117776,00.asp
Microsoft Warns of Critical JPEG Flaw

Handling of images could allow an attacker to take over your PC.

Joris Evers, IDG News Service
Tuesday, September 14, 2004
A security flaw in the way many Microsoft applications process JPEG images could allow an attacker to gain control over a computer running the software, Microsoft warned this week.


Advertisement


Any program that processes JPEG images could be vulnerable, Microsoft says in Security Bulletin MS04-028. To take advantage of the flaw, an attacker would have to persuade a user to open a specially crafted image file. The image could be hosted on a Web site, included in an e-mail or Office document, or hosted on a local network, Microsoft says.

A wide range of Microsoft software, including various versions of its Windows and Office products, is vulnerable. Additionally, applications created with Microsoft's Visual Studio developer tool or the .Net Framework and third-party applications that distribute their own copy of the vulnerable JPEG parsing engine may also be vulnerable, Microsoft says.

Software updates to correct the flaw in its products are available from Microsoft. The software maker also offers a tool to scan a PC for certain installed products that are known to contain the vulnerable JPEG image processing engine.


Ratings System
Microsoft rates the flaw "important" for many of its products, but "critical" for Outlook versions 2002 and 2003, Internet Explorer 6 with Service Pack 1, Windows XP and Windows XP with Service Pack 1, Windows Server 2003, and the .Net Framework 1.0 with Service Pack 2 and .Net Framework 1.1, according to the Security Bulletin.

In Microsoft's rating system for security issues, vulnerabilities that could allow a malicious Internet worm to spread without any action required on the part of the user are rated critical. Issues that will not lead to the spread of a worm without any action taken by the user, but could still expose user data or threaten system resources, are rated important.

The JPEG flaw was reported privately to Microsoft and it was not disclosed prior to the release of the warning and patches, the software maker says. There have been no reports of the issue being exploited, Microsoft says.

In addition to the JPEG issue, Microsoft this week, as part of its monthly security patch release cycle warned of a flaw in the WordPerfect 5.x Converter that it supplies as part of Office 2000, Office XP, Office 2003, and recent editions of its Works Suite.

The WordPerfect converter flaw, which Microsoft rates "important," could allow an attacker to gain full control over a victim's PC, Microsoft says. A software patch is available for the vulnerable products to fix the problem.
Het eerste virus wat hier gebruik van gaat maken zal niet lang op zich laten wachten, en aangezien het simpelweg via een plaatje kan lijkt me de besmettingskans erg groot.

MS heeft een patch uitgebracht dus allemaal aan de windows update! Moet zeggen dat dit wel een vreselijk dom iets is. Hoe kan een plaatje nou weer zorgen dat er unsigned code op je pc kan runnen? Dat check je toch als engineer? :?


Moest dit niet eigenlijk in BV? :?

[ Voor 7% gewijzigd door megamuch op 15-09-2004 01:53 ]

Verstand van Voip? Ik heb een leuke baan voor je!

woensdag 15 september 2004 01:53

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Security Bulletin van Microsoft. Het werkt dus niet bij alleen SP2 (zonder Office). Het geldt overigens niet voor alle versies van Windows, alleen XP (met of zonder SP1) en 2003
Important Windows XP Service Pack 2 (SP2) is not affected by this issue. Windows XP SP2 users only need to update Office (if installed).

[ Voor 48% gewijzigd door pasta op 15-09-2004 01:55 ]

Signature

woensdag 15 september 2004 02:04

Acties:
  • megamuch
  • Registratie: Februari 2001
  • Laatst online: 08-12-2024

megamuch

Tring Tring!

Topicstarter
pasta schreef op 15 september 2004 @ 01:53:
Security Bulletin van Microsoft. Het werkt dus niet bij alleen SP2 (zonder Office). Het geldt overigens niet voor alle versies van Windows, alleen XP (met of zonder SP1) en 2003

[...]
da's niet helemaal waar. win2k met office xp is ook vulnerable. (Tenminste zo lees ik dat security bulletin)

Verstand van Voip? Ik heb een leuke baan voor je!

woensdag 15 september 2004 04:43

Acties:

Verwijderd

Ik en XP SP2 en ik kreeg een Update.

Maar ik krijg een Update voor Office 2003 niet geinstalleerd.

woensdag 15 september 2004 08:39

Acties:
  • G33rt
  • Registratie: Februari 2002
  • Laatst online: 22-06-2022

G33rt

gaat over lekken en beveiliging, dus: WOS -> BV :)

woensdag 15 september 2004 11:49

Acties:
  • mrsar
  • Registratie: September 2000
  • Laatst online: 01-12 14:57

mrsar

waar een sar is,is een wodka

eigenlijk is bijna ieder systeem vulnerable,iig op normale werkplakken aangezien de meeste zoiezo office gebruiken,en mensen die bv ook framework hebben geinstalleerd.dus gewoon winupdate checken :),daarbij download je nu een tooltje die direct wordt uitgevoerd welke checked of er iets hiervan op je pc staat en er geupdate moet worden

ps.je kan er ook vanuit gaan dat de meeste mensen iexplorer6 (sp1) hebben en daardoor ook mogen patchen :)

Affected Software and Download Locations

Details Details
Bulletin Identifier
MS04-027
MS04-028

Maximum Severity Rating
Important
Critical


Windows Affected Software:


Windows Server 2003 64-Bit Edition

Critical

Windows Server™ 2003

Critical

Windows XP 64-Bit Edition Version 2003

Critical

Windows XP 64-Bit Edition Service Pack 1

Critical

Windows XP

Critical

Windows XP Service Pack 1

Critical

Windows 2000 Service Pack 2

[1]

Windows 2000 Service Pack 3

[1]

Windows 2000 Service Pack 4

[1]

Windows NT® Workstation 4.0 Service Pack 6a

[1]

Windows NT Server 4.0 Service Pack 6a

[1]

Windows NT Server 4.0 Terminal Server Edition Service Pack 6

[1]

Windows 98

[1]

Windows 98 Second Edition (SE)

[1]

Windows Millennium Edition (Me)

[1]


Windows Affected Operating System Components:


The Microsoft .NET Framework, version 1.0 Service Pack 2

Critical[2]

The Microsoft .NET Framework, version 1.1

Critical[2]

Internet Explorer 6 Service Pack 1

Critical[2]


Office Affected Software:


Office 2003
Important
Critical

Office XP Service Pack 3
Important
Critical

Office 2000 Service Pack 3
Important


Visio 2003 (All versions)

Important

Visio 2002 Service Pack 2 (All versions)

Important

Project 2003 (All versions)

Important

Project 2002 Service Pack 1 (All versions)

Important

Works Suite 2002, Works Suite 2003, Works Suite 2004
Important


Works Suite 2001
Important


The .NET Development Tools and Platforms Affected:


Visual Studio 2003 .NET

Important[3]

Visual Basic .NET Standard 2003

Important[3]

Visual C# .NET Standard 2003

Important[3]

Visual C++ .NET Standard 2003

Important[3]

Visual J# .NET Standard 2003

Important[3]

Visual Studio 2002 .NET

Important[3]

Visual Basic .NET Standard 2002

Important[3]

Visual C# .NET Standard 2002

Important[3]

Visual C++ .NET Standard 2002

Important[3]

The Microsoft .NET Framework, version 1.0 SDK

Important[3]

Platform SDK Redistributable: GDI+

Important[3]


Other Affected Microsoft Software:


Picture It!® 2002 (All versions)

Important [2]

Greetings 2002

Important[2]

Picture It! version 7.0 (All versions)

Important[2]

Digital Image Pro version 7.0

Important[2]

Picture It! version 9 (All versions, including Picture It! ® Library

Important[2]

Digital Image Pro version 9

Important[2]

Digital Image Suite version 9

Important[2]

Producer for Microsoft Office PowerPoint (All versions)

Important[2]


Notes

[1] By default this operating system is not vulnerable to this issue, however could become vulnerable if other software programs or components are installed. See the affected security bulletin for more details.

[2] This update is not required if you use Windows XP or Windows Server 2003. See the affected Security Bulletin for more details.

[3] This update is not required if you use Windows XP or Windows Server 2003 unless you are developing applications that redistribute the Gdiplus.dll file using the .NET Framework, version 1.0 SDK, Visual Studio, or the Platform SDK Redistributable: GDI+. See the affected Security Bulletin for more details.

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

zaterdag 2 oktober 2004 10:41

Acties:
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Het verbaasd me dat dit topic stilgebleven is... ondertussen zijn afgelopen zondag de eerste jpg bestanden op usenet gepost met een exploit voor deze bug. Het bekijken van de betreffende jpg kan tot infectie van je systeem leiden.

Je kunt er alles over lezen op http://easynews.com/virus.html

vrijdag 8 oktober 2004 09:13

Acties:
  • jfeelders
  • Registratie: Januari 2001
  • Laatst online: 06:48

jfeelders

Kwaliteit voor kwantiteit...

Wat ik me nu afvraag. Ik heb op mijn systeem fully patched XP SP2. Als ik het programma gdiscan laat zoeken vind hij in de drivers van mijn HP DeskJet nog een oude versie (vulnerable) van gdiplus.dll. Ik heb HP een mailtje daarover gestuurd en zij hebben van: "Dat is Microsofts probleem". Mijn overige gdiplus.dll's werden of zijn wel geupdate.
Kan ik nu probleemloos een veilige versie over deze HP-versie heen kopieren. Doen alle gdiplus-versies het zelfde en zijn ze backward-compatible? :?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq