image

Karaoke MIDI nekt kwetsbare Windows computers

vrijdag 23 maart 2012, 11:11 door Redactie, 1 reacties

Eind januari werd er malware ontdekt die Windows computers via een lek in Windows Media Player infecteerde. De aangevallen computers misten beveiligingsupdate MS12-004, die twee problemen verhelpt waardoor aanvallers onder andere via een kwaadaardig MIDI-bestand de computer kunnen overnemen. In het geval van de aanval van eind januari werd er via het beveiligingslek een rootkit geïnstalleerd.

"Het belang van deze exploit mag niet worden onderschat, aangezien MIDI een relatief ongecompliceerd formaat is", zegt Alex McDonnell van Sourcefire. "Een eenvoudige 1-byte overflow was voldoende om willekeurige code in de context van Windows Media Player uit te voeren."

Volgens McDonnell is het geen exploit die uren kost om te gebruiken. "Basiskennis van het (open) MIDI bestandsformaat en HTML is voldoende." Aanvallers kunnen het MIDI-bestand in een website inbedden zodat die automatisch wordt gespeeld als de bezoeker de pagina laadt.

Analyse
In deze analyse gaat McDonnell uitgebreid in op de kwetsbaarheid in het uit 1982 stammende MIDI-formaat. "Het Windows Media Player MIDI overflow-lek is een goed voorbeeld van een kwetsbaarheid die door de leverancier wordt geopenbaard, hackers die de bruikbaarheid van het lek beseffen en in-het-wild code die kort daarna verschijnt", aldus de analist.

Reacties (1)
26-03-2012, 15:55 door Anoniem
Het gedefinieerde midi-formaat wat zijn oorsprong heeft uit de hardware machine code 1982 zal in de windows implementatie en media player best een windows software vulnerability opleveren. Dit is echter een probleem van de windows implementatie en heeft niets te maken met de hardware machine code die uit 1982 stamt. Deze code zal verder ook nooit meer geupdate gaan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.