Ny Outlook bombe - en omgang fis?

adressen er selvfølgelig:
http://www.comon.dk

grunden til at mcafee ikke nævner noget om det kan være fordi dette ikke er en virus men et sikkerheds problem der kan udnyttes til at eksikvere vira bla.

der er en patch og en beskrivelse på dette link:
http://www.microsoft.com/technet/security/bulletin/ms00-037.asp

Den er god nok. En af de nærmeste dage vil der på Kruse's site komme en lille test, hvor man kan se om man er sårbar overfor denne bombe. Du kan finde Kruse på http://home13.inet.tele.dk/kruse/ og du kan roligt regne med at når Kruse advarer, så er det sandt!!! Jeg har fulgt ham på diverse mailinglister og nyhedsgrupper og han er altid sandfærdig, let at forstå og hjælpsom. Her er hvad Kruse selv skriver om bomben:

Ny Outlook bombe

Torsdag d. 1.6. 2000 modtog Kruse Security Advisement et tip om, at en ny angrebsform var blevet udviklet og distribueret på Internettet. Denne nye angrebsmetode skulle efter sigende blive leveret via email til brugere af Microsoft Outlook 98, 2000, Outlook Express 5, og uden interaktion fra modtageren installere og køre kode på dennes maskine.

Fredag d. 2.6. 2000 kl. 22.12 fandt KSA frem til et hackersite, som i udførlighed beskriver dette angreb samt publicerer kode til formålet. Efter grundig analyse af denne kode samt test blev det lørdag morgen bekræftet, at sårbarheden er virkelig og omfatter Windows 95, Windows 98, Windows NT og Windows 2000 med Internet Explorer 5 installeret med standard konfiguration (default).

"Outlook bomb" anvender en kombination mellem allerede kendte sårbarheder i Internet Explorer 5 kædet sammen med en fejl i Windows Media Player Active X. "The Bomb" er derfor i stand til at installere og køre kode på ofrets maskine UDEN interaktion fra brugeren.

Bomben består af en *.eml eller *.nws fil med 2 skjulte filer embedded. Den ene er en *.chm fil, som er udløseren og en anden fil f.eks. .exe, .com eller .bat, som kan indeholde alt lige fra viruskode, orm til trojan. Bomben kan også udløses via besøg på hjemmeside eller en postting i en Newsgroup. De 2 embedded filer i *.eml eller *.nws ligger sig automatisk ned i temp (det midlertidige) katalog i Windows, hvorefter et simpelt script i Bomben udløser *.chm filen som herefter, via en kort omvej, kører kode fra exe, com eller bat filen.

Der er tilsyneladende allerede adskillige variationer på "bomben", hvoraf mindst den ene, syntes velgennemført i koden.

Beskyttelse:

1. Deaktiver aktive scripting
2. Flyt dit temporære lager til en anden lokalitet. (Din temp mappen i Windows til f.eks. c:\internet emp)
3. Fjern Windows Media Player

Microsoft har frigivet en patch som lapper *.chm fil problemet. Besøg deres website på følgende adresse: http://www.microsoft.com/technet/security/bulletin/ms00-037.asp

På Securiteam´s hjemmeside kan man læse en meget præcis og udemærket beskrivelse af omfanget af help-fil sårbarheden. http://www.securiteam.com/windowsntfocus/IE_HTML_Help_File_Vulnerability__patch_available_.html

Kruse Security Advisement, 3.6. 2000

>fcs
Tak for den udførlige redegørelse - og anbefalingen af "Kruse", som jeg så holder øje med.

Det var så lidt. Et lille tips: Tilmeld dig hans nyhedsbrev på hjemmeside, så modtager du up-to-date informationer om Vira og sikkerhedsproblemer. Han er ofte hurtigere ude med info end de officielle firmaer (Anti-virus producenter, etc.), så det kan varmt anbefales!

Det er da det mest skræmmende jeg nogen sinde har hørt om. Jeg har downloadet en patch!