2011年7月22日 星期五

[轉載] 電腦看圖片也會中毒 JPEG病毒搞鬼 (JPG, GIF)

原文 http://pforum.pccenter.com.tw/viewthread.php?tid=5039

過去我們總以為電腦如果要中毒,一定得要開啟一個執行檔,執行了不該執行的程式才會中毒,至於上網看看網頁資料,或是收收信是不會有事的;可是後來層出不窮的「瀏覽器綁架」事件,讓我們的瀏覽器首頁不斷地被修改,然後再加上之後IE的安全性漏洞不斷傳出,我們才被這種切身之痛給「教育」,恍然大悟原來上網瀏覽網頁也會出問題。

那麼,現在讓我們再來給你震撼教育一下吧;你可知道,瀏覽圖片也有可能會中毒?沒錯,就是瀏覽圖片,不管你是從Email所收的圖片,或是上網路相簿瀏覽的圖片,或是根本只是用ACDSee秀圖軟體觀看在你電腦中的圖片,都有可能會中毒!

這是在今年9月由微軟所公佈的一個名叫「JPEG處理程序(GDI+)處理緩衝區溢出」的安全性漏洞,只要是JPEG格式的圖片,經過特殊的處理後,都有可能引發這個漏洞,導致駭客趁虛而入,引發你的系統中毒。

這麼說你一定還是不瞭解,圖片檔案又不是執行檔,為甚麼會引發中毒?事實上,主要的原因並不在於圖片檔,而在於微軟作業系統中一個「GDIPlus.dll」的動態連結檔案;當我們要瀏覽JPEG圖片或是對JPEG檔案作影像處理時,多半都要用到這個檔案裡頭的程式指令,而漏洞就存在這個檔案裡頭。

有安全專家發現,當JPEG圖檔內含有特定的內容時,就會導致「GDIPlus.dll」在處理時發生緩衝區溢位的現象,因而導致系統出現安全性漏洞,這時駭客就可以趁機命令電腦下載病毒並且執行。

由於很多程式都引用「GDIPlus.dll」當作影像處理的主要連結,所以這個安全性漏洞的影響非常龐大,微軟也將這個安全性漏洞的評等提升為「重大」;以windows XP來說,除非你更新到SP2的版本,否則你就有這個安全性漏洞。

而微軟的其它產品,如Office全系列的程式,也都有這些問題存在,至於非微軟的產品,則也同樣處在不安全的疑慮中。
由於圖片病毒屬於系統漏洞的一種,所以就算你安裝了防毒軟體,也不見得能夠保證自己電腦的安全,唯一的辦法就是去微軟網站上下載批次更新檔案,將這個漏洞彌補起來。

台灣微軟在網站上的「Microsoft安全性公告MS04-028」頁面上,已經非常詳細公佈了關於「JPEG處理程序(GDI+)緩衝區溢位」這個問題的相關資訊,其中列出了微軟產品中受到影響的軟體清單,這個清單非常長,幾乎佔了一整個頁面,建議你趕快到這個網頁上去查一查,看看你有哪些軟體需要更新,該公告的網址為:
www.microsoft.com/taiwan/security/bulletin/ms04-028.mspx

另外,這個網站上公佈的更新檔案僅僅針對微軟的產品,如果你有使用其它的影像相關軟體的話,你可能要到各家廠商的網站上查詢看看,是否有新的更新檔案可以下載。
目前第一個利用微軟「JPEG處理程序(GDI+)處理緩衝區溢出」所製造出來的病毒圖片,是在今年9月底由不知名的人士上傳到美國的新聞群組,導致許多人下載了圖片之後引發中毒。

而在不久之後的10月份,馬上在網路上就出現一只叫做「JPGDownloader」的軟體,又被暱稱為「病毒圖片製造機」,這個程式可以讓任何人隨便用一個JPEG圖檔,製作出JPEG圖片病毒;不過這個程式攻擊的目標,僅針對英文版的作業系統,所以國內目前尚未聽到有人成為受害者。
雖然這些可以算是第一批的JPEG病毒,不過JPEG圖片所引發的安全性漏洞,並不是第一次,早在兩年前,當時的Netscape瀏覽器就已經發現過類似的圖片安全性漏洞,被稱為「Netscape Communicator JPEG-Comment Heap Overwrite Vulnerability」,只要在Netscape瀏覽器上瀏覽特定的JPEG圖片,就會導致漏洞的發生。

不過或許是因為使用Netscape瀏覽器的人數不多,並沒有駭客對這個漏洞感興趣,所以當時才沒有爆發災情。
簡單4步驟 看圖更安心現在我們為你示範,如何來下載批次檔案,更新你電腦中的安全性漏洞;步驟很簡單,卻可以讓你以後看圖片時不用提心吊膽,防不勝防。
〈步驟1〉
連上網站(
http://www.microsoft.com/taiwan/security/bulletin/ms04-028.mspx)後,檢視你需要更新的程式或系統,如果你的Windows XP還沒更新到SP2的話,建議你先點選Windows XP的中文版更新連結。
〈步驟2〉
中文版的更新檔案下載頁面,首先記得選擇要下載的是中文版的更新檔案,之後按下右上角的下載按鈕,開始下載。
〈步驟3〉
接下來就會跳出一個視窗,詢問你是否要下載該檔案,點選「儲存檔案」的按鈕就開始下載,下載完畢後執行這個檔案即可。
〈步驟4〉
之後別忘了再回到剛開始的頁面,繼續檢查你還有甚麼其它軟體的安全性漏洞沒有更新,然後依照前面的步驟一一加以更新

沒有留言:

張貼留言