mboost-dp1

Flickr - HJ Barraza

Virusscripts skjuler sig for antivirusprogrammerne med tomme bytes

- Via MCSolutions - , redigeret af Pernicious

En teknik som antivirusbranchen har kendt i mindst 10 år, kan snyde antivirusprogrammerne. Ved at indsætte tomme bytes i et htmlscript, kan programmerne ikke genkende om der er tale om et ondsindet script.

Det er den belgiske sikkerhedsekspert Didier Stevens, der har genopdaget problemet. Han fandt ud af, ved at teste med VirusTotal, der tester 32 antivirusprogrammer, at jo flere 0-bytes (0x00) han satte ind i et script, desto flere af programmerne fejlede genkendelsen. Ved 255 tomme bytes kunne ingen af programmerne genkende virusscriptet, som de ellers normalt kan.

Stevens har testet sine scripts med Internet Explorer, hvor de bliver afviklet fint. Årsagen er at IE vælger at ignorere alle 0-bytes, hvorfor scriptet fungerer. Stevens har derudover testet med Firefox, der kun ignorerer en enkelt 0-byte, hvilket gør at scriptet ikke afvikles.





Gå til bund
Gravatar #1 - TullejR
5. nov. 2007 07:04
Hvad er et "htmlscript"?
Gravatar #2 - Jonasee
5. nov. 2007 07:08
#1 tro bare det er dårlig formulerig
Gravatar #3 - zeon
5. nov. 2007 07:23
endnu en gang sejre firefox over ie..
Gravatar #4 - Space Hopper
5. nov. 2007 07:24
Nice at firefox er sikret, gad vide om det samme gælder Opera? (som jeg bruger)

If not, it should.
Gravatar #5 - bnm
5. nov. 2007 08:01
#4 problemet er da hverken IE eller FX's. Det er en enkelt transitionsregel der mangler i stort set alle antivirus programmers finite state machine til genkendelse af virusdefinitioner. Alternativt en tilføjelse til den nuværende for html whitespace karakterer).

Hvis man scanner efter exploits, skal det være med udgangspunkt i den maskine der kan exploites kontekst, ikke en eller anden hypotetisk maskine som opfører sig præcist som beskrevet i et dokument. Ellers var der jo slet ikke brug for antivirus og on-access scans.
Gravatar #6 - Mort
5. nov. 2007 08:09
#3: Ja og en web browser som ikke understytter scripting vil også "sejre" over IE.
Gravatar #7 - lorric
5. nov. 2007 08:53
Hvis tomme bytes er 0, er fulde bytes så 255? Hvem har fundet på "tomme bytes"? Død ved kølle!
Gravatar #8 - biopv
5. nov. 2007 09:09
Er der nogen der ved _hvorfor_ IE (og firefox) overhovedet ignorerer 0x00 bytes ?

Jeg har lidt svært ved at se hvorfor det i sin tid er blevet puttet ind - hvadenten man så ignorerer alle (IE) eller bare en enkelt (ff) 0-byte.

Så vidt jeg kan se har jeg da vist aldrig genereret xml, html eller lignende hvor der var 0-bytes i - måske nogle underlige linieskift pga. dos/unix/mac rod - men de kodes jo ikke af 0-bytes.

#1 : Et script indlejret i html kode ?

<html> <script language=... source=....>

Jeg synes egentlig sprogvalget er helt fint.

/P
Gravatar #9 - p1x3l
5. nov. 2007 10:17
#8 ... det så javascript i html (hypertext markup lang)... som ik er andet en hva navnet påpeger markup lang til at få kedlig text til at virke bare lidt overskuelig .... javascript derimod er script afviklet af den enelkte browser hos clienten ... :=)

morgen .. keder mig vist .... :)

ontopic :
men som du ellers siger #8 hva laver det ignore kode der i förste omgang .... og fandme flot at en fejl kendt af av fimaer ligger ude til "fri" afbenyttelse i 10 år mon ik der bare et par ondsinde der også kender til buggen :s vil da mene den er rimelig kritisk så skulle rettes hurtigt scary ...
Gravatar #10 - p1x3l
5. nov. 2007 10:21
og så bare for de ka lette r* og fixe den bug

lidt spredning af link ........
http://blog.didierstevens.com/2007/10/23/a000n0000...
er også i source til nyhed ... men mange der ik läser jo ... ku dog ik lade väre lige i dette tilfälde lol :)
Gravatar #11 - Y-Ninja
5. nov. 2007 10:49
Tjaa. Det undrer vel ikke at IE godtager alle disse tomme tegn. Den æder jo alt kode man smider efter den. En af de gode eksempler er skråstreger og backslash. Hvis man vender dem forkert vil IE bare være ligeglad, hvor firefox fejler.
Har set eksempler på sider hvor alle billeder mangler, hvis man kører firefox, fordi spade-udvikleren konsekvent har vendt alle skråstreger forkert :)
Gravatar #12 - TullejR
5. nov. 2007 11:13
#11: Nu er "/" og "\" så to forskellige tegn, ligesom "a" og "A" - at Microsoft ikke har fundet ud af det, er absolut ikke en positiv ting.
Gravatar #13 - DR KOBALL
5. nov. 2007 11:47
#12
Nu har microsoft jo netop fundet ud af det, men vælger at gøre det bekvemt for nogle, som ikke kan finde ud af at vende dem rigtigt.
F.eks. så bruger windows jo backslash til mappe adskillelse så fejlen kan nemt opstå ved copy paste af stinavne til f.eks. billeder i et html doc.
Eller rmåske bare en vane sag.

Microsoft kender jo også til forskellen f.eks. så har microsoft jo nogle glimrende udviklings sprog som er case sensitive, så de er godt klar over det :-D

Microsoft har f.eks. jo valgt at fohindre at filer har det samme navn i samme mappe. (hvis du spørger min mor) hvor i mod unix ikke har forhindret dette (hvis du spørger min mor) Jeg er ude mærket godt klar over forskellen på a og A.

men sådan er vi jo heldigvis ueninge nogle gange
Gravatar #14 - Tyrian
5. nov. 2007 14:20
#9 <script language=vbscript> <- Er det javascript? Tror han bruger udtrykket htmlscript for at dække alle de mulige scripttyper der kan bruges i et html-dokument. Det begrænser sig bestemt ikke til javascript.
Gravatar #15 - Yilar
5. nov. 2007 16:22
Hvem sagde reklame for firefox??....

Har svært ved at tro at det har været kendt i 10 år og der aldrig er blevet ændret eller rettet siden.
Gravatar #16 - TheThufir
5. nov. 2007 16:56
#15 Hvem sagde reklame for Microsoft??... :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login