Na potencjalny atak narażeni są zarówno użytkownicy systemów operacyjnych Windows (między innymi Windows XP, Windows 2003 Server), jak i szeregu innych, popularnych aplikacji: pakietów biurowych Office XP, Office 2003, przeglądarki internetowej Internet Explorer 6 z dodatkiem Service Pack 1, programów Microsoft Visio 2002 i 2003, Microsoft Project 2002 i 2003, Picture It oraz Digital Image Pro (pełna lista zagrożonych systemów oraz aplikacji została zamieszczona w biuletynie bezpieczeństwa MS04-028). Użytkownicy systemu Windows XP, zaktualizowanego o dodatek Service Pack 2 mogą czuć się bezpieczni, o ile zainstalują poprawki do pozostałych, umieszczonych na liście aplikacji, z których aktualnie korzystają.

Niebezpieczny JPEG

Zauważoną lukę można wykorzystać dodając do pliku graficznego JPEG odpowiedni fragment kodu, który przy oglądaniu obrazka spowoduje błąd przepełnienia bufora i pozwoli na przejęcie zdalnej kontroli nad zainfekowanym komputerem. Ponieważ na ów błąd narażeni są również użytkownicy przeglądarki Internet Explorer 6 z dodatkiem Service Pack 1, niebezpieczeństwo może czyhać na nich również na stronach internetowych.

Zobacz również:

• Google poprawi JPEG wyświetlane w internecie. Ma być lepsza jakość i mniejsza waga

Kodu brak, ale już jest groźnie

Eksperci z firmy McAfee uspokajają, iż do tej pory nie pojawił się w Sieci kod, który umożliwiałby dokonanie opisanych powyżej działań. Ostrzegają jednocześnie, iż ze względu na popularność formatu JPEG oraz szeroki zakres aplikacji i systemów operacyjnych podatnych na błąd, potencjał takiego ataku jest bardzo wysoki. Przewidują także, że już niedługo będziemy mogli spodziewać się pierwszych przykładów wykorzystania niebezpiecznej dziury w sposobie przetwarzania plików graficznych tego rodzaju. Jak mówi Stephen Toulouse, security program manager z centrum Incident Response Microsoftu, największym zagrożeniem związanym z luką plików JPEG jest fakt nadzwyczaj dużej liczby podatnych na jej wykorzystanie aplikacji.

Łatka dla każdego

Biuletyn bezpieczeństwa MS04-028 opisujący problem z przetwarzaniem plików JPEG, poza listą podatnych na atak aplikacji i systemów, zawiera także odnośniki pozwalające na aktualizację i zabezpieczenie się przed potencjalnym niebezpieczeństwem. Użytkownicy korzystający z funkcji Windows Update, w razie potrzeby zostaną również skierowani do odpowiednich modułów, które pobiorą stosowne łatki na wykrytą dziurę. Dodatkowo, zaleca się użytkownikom odczytywanie wiadomości pocztowych jedynie w formacie tekstowym i unikanie wiadomości w formacie HTML, zawierających grafikę w formacie JPEG.

To już nie pierwszy raz

Pliki graficzne po raz kolejny stanowić mogą nie lada zagrożenie dla nieświadomych użytkowników. Na początku sierpnia informowaliśmy o błędzie w jednej z bibliotek obsługujących format PNG (pisaliśmy o tym szerzej w artykule "Pliki graficzne PNG mogą szkodzić"). Problem dotyczył wtedy zarówno systemów operacyjnych, z rodziny Windows, jak i dystrybucji Linuksa, a nawet systemów Mac OS X. Jak podkreślają niezależni eksperci, luka w sposobie przetwarzania plików JPEG nie ma jednak żadnego powiązania z wcześniejszymi problemami plików formatu PNG.