Jürgen Auer
Legendäres Mitglied
Eigentlich wollte ich grade meinen Rechner runterfahren, werfe noch einen Blick in die Heise-News.
Und finde diesen Artikel: Spionage-Photos mal andersrum
Ausführlicherer Artikel im ZDNet-Blog - das ganze ist eine Vorschau auf die Black Hat - Konferenz in der nächsten Woche in Vegas.
Prinzip: Irgendwie kann man Bilder aller möglichen Formate so mit Java-Klassen kombinieren, daß das Bild angezeigt und der Java-Code ausgeführt wird. Das ganze aber mit dem 'Vertrauensbonus' der Plattform, auf der das Bild eingebunden ist.
Lädt also jemand auf mySpace, Xing, ebay usw. solche Bilder hoch und kann er andere dazu bringen, sein Profil mit so einem manipulierten Bild aufzurufen, dann kann er diesen Java-Code unterschieben. Natürlich müßte das auch mit den hiesigen Profilfotos gehen.
Für mich verblüffend ist die Feststellung in dem ZDnet-Artikel, daß das weniger ein Problem des Betriebssystems oder der Java-VM, sondern mehr ein Problem der Seitenanbieter sei, die beim Upload höchstens die Endung und die ersten Zeilen checken.
Im Prinzip ist das 'fast wie Sql-Injections' - 'trau nie, nie, nie Benutzereingaben, auch keinen Fileuploads'.
PS: Etwas ähnliches hatte hier mal jemand erwähnt: PHP-Code in Bildern. Jagt man die Bilder aus Bequemlichkeit durch den Parser, wird der PHP-Code ausgeführt.
Bon appétit.
Und finde diesen Artikel: Spionage-Photos mal andersrum
Ausführlicherer Artikel im ZDNet-Blog - das ganze ist eine Vorschau auf die Black Hat - Konferenz in der nächsten Woche in Vegas.
Prinzip: Irgendwie kann man Bilder aller möglichen Formate so mit Java-Klassen kombinieren, daß das Bild angezeigt und der Java-Code ausgeführt wird. Das ganze aber mit dem 'Vertrauensbonus' der Plattform, auf der das Bild eingebunden ist.
Lädt also jemand auf mySpace, Xing, ebay usw. solche Bilder hoch und kann er andere dazu bringen, sein Profil mit so einem manipulierten Bild aufzurufen, dann kann er diesen Java-Code unterschieben. Natürlich müßte das auch mit den hiesigen Profilfotos gehen.
Für mich verblüffend ist die Feststellung in dem ZDnet-Artikel, daß das weniger ein Problem des Betriebssystems oder der Java-VM, sondern mehr ein Problem der Seitenanbieter sei, die beim Upload höchstens die Endung und die ersten Zeilen checken.
Im Prinzip ist das 'fast wie Sql-Injections' - 'trau nie, nie, nie Benutzereingaben, auch keinen Fileuploads'.
PS: Etwas ähnliches hatte hier mal jemand erwähnt: PHP-Code in Bildern. Jagt man die Bilder aus Bequemlichkeit durch den Parser, wird der PHP-Code ausgeführt.
Bon appétit.