¿El código de ejecución automática malintencionado solo puede existir en datos EXIF en imágenes JPEG?

Navega tus respuestas
1

Digamos que tenemos una imagen JPEG infectada que solo con verla puede ejecutar automáticamente el código malicioso almacenado en su interior. Puede hacerlo aprovechando los agujeros de seguridad del visor de imágenes utilizando desbordamiento de búfer u otras técnicas. ¿Es el único lugar para almacenar el código listo para su ejecución, dentro de los segmentos de datos EXIF de una imagen JPEG?

Suponiendo que alguien use el EXIFtool o FileMind QuickFix para eliminar todos los metadatos EXIF. ¿Aclararía esto la imagen del código que podría ejecutarse al ver la imagen, eliminando así la amenaza almacenada en el interior?

PS: la imagen se puede ver y no es, por ejemplo, un archivo * .exe cuyo nombre ha cambiado. No estamos infectados por otro malware que puede leer usando esteganografía Técnicas del código escondido en las imágenes y ejecutarlo. Estamos limpios y acabamos de abrir la imagen.

EDITAR: El código de ejecución automática del caso se puede rellenar dentro de los datos reales de la imagen, aparte de los metadatos EXIF, se puede detectar este código. Si estuviera encriptado, necesitaría otro programa malicioso para descifrarlo. Entonces, ¿cómo puedo detectar este código dentro de la imagen?

    
pregunta pgmank 30.04.2015 - 11:08
fuente

2 respuestas

4

No necesariamente.

El código malintencionado de ejecución automática aprovecha los errores que afectan al código de algunos programas que manejan los datos. Se refiere a un error en la forma en que debe procesarse EXIF, pero el software también debe manejar los datos de la imagen y el código que maneja estos datos también puede tener errores que podrían explotarse.

La eliminación de los datos EXIF protegerá contra las amenazas que intentan utilizar errores que afectan la manipulación de los datos EXIF, pero no hará nada contra las amenazas que intentan explotar las rutinas de manejo de datos de imágenes reales (para esto puede imaginar un cambio de tamaño de imagen que alteraría los datos de imagen). Sin embargo, es posible que desee tomar medidas para que el software que realiza este cambio de tamaño no pueda explotarse con éxito ...).

En todos los casos, dichas amenazas solo pueden dirigirse a versiones muy específicas de software y bibliotecas, ya que se dirigen a un error muy específico y no pueden ser una especie de "exploit genérico" que afecte a todos los usuarios que abren la imagen, sin importar con qué software.

Editar: También se puede encontrar una discusión sobre este tema en StackOverflow .

    
respondido por el WhiteWinterWolf 30.04.2015 - 11:31
fuente
2
  

¿El único lugar para almacenar el código está listo para la ejecución, dentro de los segmentos de datos EXIF de una imagen JPEG?

No necesariamente. Sin embargo, es mucho más probable que exista un error dentro del código de procesamiento EXIF. El código de procesamiento JPEG para la imagen real es bastante estándar, usando algoritmos probados y comprobados. Es el procesamiento EXIF el que está más a medida según la aplicación, según lo que esté haciendo con los datos.

  

Suponiendo que alguien use EXIFtool o FileMind QuickFix para eliminar todos los metadatos de EXIF. ¿Aclararía esto la imagen del código que podría ejecutarse al ver la imagen, eliminando así la amenaza almacenada en el interior?

Posiblemente. Sin embargo, aquí está moviendo el riesgo de una explotación del código de visualización de la imagen a la herramienta EXIF. Todavía existe la posibilidad de que la herramienta EXIF contenga fallas que permitan su explotación. Sin embargo, puede ejecutar la herramienta en una máquina separada con acceso limitado a la red y luego pasar los datos de la imagen una vez que se hayan eliminado los datos EXIF.

    
respondido por el SilverlightFox 01.05.2015 - 12:17
fuente

Lea otras preguntas en las etiquetas

defensa de seguridad RFID ¿La combinación de una contraseña con hash aumenta su seguridad?