Gisteren, 15 november 2004, lanceerde de Israëlische beveiligingssoftwareproducent eAladdin een nieuwsbericht dat duidelijk bedoeld was om de ICT-wereld in rep en roer te zetten en gewone gebruikers de schrik om het lijf te jagen. eAladdin beweert namelijk een JPEG-virus gevonden te hebben. Geen gewoon virus, een megavirus nog wel! De gevolgen zouden waarlijk catastrofaal kunnen zijn: de meeste JPEG-plaatjes komen immers volledig ongehinderd én ongecontroleerd langs het internet en netwerken binnen op pc’s. Een meegesmokkeld virus zou dus ook langs die weg binnen kunnen geraken. Het grote probleem is natuurlijk, dat een virus uitgevoerd moet worden. Zelfs het allergemeenste virus is totaal ongevaarlijk zolang het niet uitgevoerd wordt.
Virussen die zich verspreiden via databestanden zijn natuurlijk niet nieuw. Denk maar aan macrovirussen voor Microsoft Office. Daar gaat het echter om databestanden met een uitvoerbare component: de macrocode. Een JPEG-plaatje heeft geen uitvoerbare component en dus kan een meegesmokkeld virus niet uitgevoerd geraken. Alleen was dat weer eens buiten Microsoft gerekend. Ja hoor, Microsoft is er weer eens in geslaagd een ‘buffer overflow’-probleem te voorzien in de systeembibliotheken (DLL’s), deze keer dus degene die voor de weergave van JPEG’s moeten zorgen. Microsoft heeft er zelfs keurig een beveiligingsnieuwsbericht over gemaakt. Eenvoudig gezegd komt een ‘buffer overflow’ erop neer dat heel wat Microsoft-code niet controleert of een toegewezen bufferruimte gevuld wordt met meer data dan de buffer groot is. Op die manier kan er dus geheugenruimte buiten de toegewezen buffer volgeschreven worden met data of zelfs programmacode, ook een virus. Een dergelijk probleem kan alleen maar ontstaan bij een besturingssysteem met een zeer slecht geschreven geheugenbeheer. Normaal mag programmacode nooit buiten de toegewezen geheugenruimte komen en zodra dat toch geprobeerd wordt, zou dat een systeemfout moeten opleveren en dat resulteert dan in het afsluiten van het zich misdragende programma. Niet dus bij Microsoft. De schrijfpoging buiten de toegewezen geheugenruimte wordt gewoon geaccepteerd en uitgevoerd. Op die manier kan viruscode dus ergens in het geheugen van Windows terecht komen. Dat betekent nog niet dat het ook uitgevoerd raakt, maar het risico is er natuurlijk.
Wij raadpleegden onze eigen Belgische antivirusspecialist Eddy Willems (o.a. betrokken bij EICAR) en die bevestigde ons dat er nog helemaal geen JPEG-virus bestaat. "Het is pure paniekzaaierij", aldus Eddy Willems, "omdat ze zelf reeds claimen dat virus ontdekt te hebben. Dit virus bestaat nog steeds niet. De meeste anti-virusproducenten hebben wel al een detectie voor het Microsoft-probleem voorzien. Een virus dat goed gebruik kan maken van dit probleem kan wel voor serieus grote moeilijkheden zorgen. Overigens is het Microsoft-probleem al meer dan anderhalve maand bekend op dit moment." Met andere woorden: de soep wordt beslist niet zo heet gegeten als ze wordt opgediend. Als je goede antivirussoftware draait en de laatste beveiligingsupdates van Microsoft geïnstalleerd hebt, zit je beslist veilig!
Home Nieuws