De volgende systemen blijken vatbaar voor het ANI-lek.

Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server
Microsoft Windows Vista
Microsoft Internet Explorer 7.0
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Internet Explorer 6.0 SP2
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows Server 2003 Datacenter Edition Itanium
Microsoft Windows Server 2003 Enterprise Edition Itanium
Microsoft Windows Server 2003 Datacenter Edition Itanium SP1
Microsoft Windows Server 2003 Enterprise Edition Itanium SP1
Microsoft Windows XP Media Center Edition SP2
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Windows Server 2003 Datacenter Edition Itanium SP1
Beta 1
Microsoft Windows Server 2003 Enterprise Edition Itanium SP1
Beta 1
Microsoft Windows Vista beta
Microsoft Windows Vista Beta 1
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Vista December CTP
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Server SP4
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Datacenter x64 Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows 2000 Server Japanese Edition
Microsoft Windows Server 2003 Enterprise x64 Edition
Microsoft Windows Server 2003 Standard x64 Edition
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Server SP1
Microsoft Windows Server 2003 Datacenter Edition SP1
Microsoft Windows Server 2003 Enterprise Edition SP1
Microsoft Windows Server 2003 Standard Edition SP1
Microsoft Windows Server 2003 Web Edition SP1
Microsoft Windows Server 2003 Datacenter Edition SP1 Beta 1
Microsoft Windows Server 2003 Enterprise Edition SP1 Beta 1
Microsoft Windows Server 2003 Standard Edition SP1 Beta 1
Microsoft Windows Server 2003 Web Edition SP1 Beta 1
Microsoft Windows XP Home SP2
Microsoft Windows XP Professional SP2

Volgens de bovenstaande lijst zou Windows XP Professional
SP1 er dan geen last van hebben?

Klopt. En zoals je kan zien staat Win XP zonder service pack
ook niet op de lijst van systeemsoftware die er last van zal
hebben. Kennelijk hebben de ontwikkelaars bij het maken van
de updates een 'verbetering' aangebracht in de code die met
SP2 wordt meegelevert die de kwetsbaarheid in zich heeft.

Ik weet het niet. Zoek eens op de Google. Misschien dat dit
uitkomst biedt.

Peter, als je zulke lijsten post, die niet uit eigen onderzoek afkomstig zijn,
vermeld dan altijd de bron van de informatie. Iedereen kan wel wat roepen.

ANI files stammen al uit de Windows 3.1 tijd. Voor zover ik nu weet betreft het een bug in user32.dll, welke in alle 32bit windows versies voorkomt. Ga er maar van uit dat alle windows versies in principe kwetsbaar zijn.

Een m.i. belangrijkere vraag is welke applicaties toegang geven tot de kwetsbaarheid. Het zou me niet verbazen als verkenner op alle windows versies de code in een kwaardaardige ANI file zal uitvoeren (bijv. als zo'n file in een directory listing wordt getoond en deze 'ge-previewed' wordt).

Interessanter is te weten welke internet applicaties (email, webbrowser etc.) kwetsbaar zijn en of je dit op kunt heffen door het wijzigen van instellingen, en/of er alternatieve applicaties zijn die niet kwetsbaar zijn. Helaas bestaat op dit punt nog veel onduidelijkheid (behalve over Outlook Express, gebruik daarvan is m.i. momenteel erg onverstandig).

Aanvulling 03:29: een uitstekende beschrijving vind je op [url=http://www.kb.cert.org/vuls/id/191609]deze US-CERT page[/url] (bron: onderaan deze [url=http://isc.sans.org/diary.html?storyid=2551]Sans page[/url] door Kevin Liston).

het is een lachwekkende bug, een simpele stack overflow in het
ongecheckte 2e deel v/d ANI header, en dat terwijl er ergens in 2005 ook al
een stack overflow in het 1e deel werdt gevonden :')

Kan justitie niet eens wat gaan doen aan al die zogenaamde lekken(c)

nee, dit werd na sp1 met een postfix opgelost, de fout is nu
opnieuw opgedoken in vista & sp2.
sp1 met alle security updates is veilig (ms05-002)

Vraagje:

Als ik een ``account met beperkte rechten´´ in XP gebruik,
ben ik dan beschermd tegen deze exploid?

Incorrect. Het gaat om een andere vulnerability.
In principe niet, want er wordt code gestart die alles mag doen wat jij mag op jouw systeem. Er bestaat malware die jouw bestanden versleutelt waarna je, tegen betaling, (hopelijk) de sleutel krijgt. Spam versturen kan in principe ook, je wachtwoorden kunnen worden afgekeken, registratiecodes van software kunnen soms worden gepikt en bijv. je browserinstellingen kunnen worden aangepast.

In de praktijk is het echter zo dat veel gebruikers (met name op thuis PC's) als beheerder inloggen. En dat is waar de meeste malwaremakers op gokken (niet alleen malwaremakers trouwens, veel gewone software werkt ook niet goed als je geen beheerder bent).

Malware zal vaak één of meer van de volgende zaken proberen: security software (antivrus, personal firewall etc.) uitschakelen, je hosts file en/of DNS instellingen wijzigen, services installeren, bestanden schrijven (en soms mappen aanmaken) op plaatsen waar je niet vaak komt (zoals System32 en System Volume Information) en wijzigingen maken in het systeem deel van het register (HKEY_LOCAL_MACHINE). Veel malware werkt gewoon niet als dit niet mag, waarmee de kans op ellende een stuk kleiner is.

Onder Windows bestaat, vergeleken met Unix-achtige besturingssystemen, weinig aandacht voor privilege escalation vulnerabilities, juist omdat die zinloos zijn als users toch altijd al als beheerder inloggen. Reken maar dat die mogelijkheden er zijn. Maar ook hier geldt weer dat de malwaremakers geen moeite hoeven te doen, er zijn genoeg makkelijke prooien.

Dus nee, geen bescherming tegen deze ANI exploit, maar wel een grote kans dat je systeem deze- en andere malware aanvallen ongeschonden doorstaat als je als "ordinary user" inlogt.

Dank je wel!

Je kan net zo goed een illegale versie van bijv. Windows XP
Pro downloaden, aangezien je veel geld betaald voor een
licentie en microsoft zo traag is als dikke stront om lekken
te dichten! Naar mijn mening moet een bedrijf als microsoft
direct de patch uitbrengen wanneer ze deze klaar hebben en
niet een eerste dinsdag van de maand ofzo, wat een bullshit
zeg. Lekker wachten totdat een groep hackers de boel kunnen
overnemen, waarvoor heb ik dan GVD een licentie
gekocht?!?!?!?!?!