MS 04-028, GDI+ JPEG Vulnerability       23 September 2004

Celah keamanan yang memungkinkan file JPEG menyebarkan virus

       Bulan September tampaknya mempunyai magnit tersendiri untuk munculnya virus baru dan berbahaya, setelah duet Nimda dan CodeRed pada tahun 2001 yang disusul oleh Yahaa dan Bugbear pada tahun 2002 lalu aksi Blaster dan Sobig.F pada September 2003, maka pada tanggal 14 September 2004 muncul kabar "seram" yang mengguncangkan para praktisi keamanan khususnya industri antivirus pengguna internet. Celah keamanan yang memungkinkan virus menginfeksi komputer anda dengan hanya dengan melihat gambar berformat jpeg telah ditemukan, dan tidak tanggung tanggung celah keamanan tersebut terkandung pada OS (Operating System) dan aplikasi Windows. Dimana walaupun anda sudah melakukan patch OS anda dan belum melakukan patch pada aplikasi maka celah keamanan tersebut tetap akan berhasil dieksploitasi. Jika membuat Sasser membutuhkan waktu kurang dari 1 bulan setelah pengumuman celah keamanannya, kami menunggu dengan was-was dan diperkirakan dalam waktu yang sangat dekat virus yang mengeksploitasi celah keamanan ini akan muncul. Para vendor antivirus juga blingsatan setengah mati karena selama ini tidak memasukkan file jpeg sebagai daftar file yang berbahaya dan perlu diwaspadai.

Informasi Teknis

Sumber permasalahan ada pada Microsoft GDI+ (Graphics Device Interface) JPEG (Joint Photographic Experts Group), dimana GDI+ ini merupakan komponen Microsoft yang digunakan untuk memproses gambar dan grafik pada aplikasi dan program. Terjadi kesalahan pada komponen GDI ini dalam memproses file JPEG sehingga file JPEG yang datang dalam bentuk yang telah direkayasa sedemikian rupa akan mengakibatkan Buffer Overflow dan hal ini akan memungkinkan bagi pembuat virus untuk menjalankan kode yang telah dipersiapkan terlebih dahulu pada komputer korban dan sebagai akibatnya, komputer yang menjalankan (membuka) file JPEG tersebut secara teknis akan bisa dikuasai karena kode yang dijalankan bisa apa saja termasuk menghapus data, menambah akses baru atau menjalankan program lain yang telah dipersiapkan terlebih dahulu.

Aplikasi apa saja yang rentan

Jika celah keamanan LSASS dan RPC Dcom yang memungkinkan Sasser dan Blaster "hanya" mampu menyerang OS Windows seperti Win XP, 2000, NT dan 2003 maka celah keamanan GDI+ ini mempunyai cakupan yang jauh lebih besar, boleh dikatakan celah keamanan yang sangat berbahaya dan cakupannya (termasuk) paling luas, dari Operating System seperti Windows 2000, XP dan 2003, sampai aplikasi yang sangat populer seperti Microsoft Office XP, MS Office 2003 dan tidak ketinggalan browser yang paling populer sejagad Internet Explorer 6 SP 1.

Untuk lebih lengkapnya, beberapa OS dan aplikasi yang mengandung celah keamanan GDI +  ini adalah sebagai berikut :

Operating System

• Microsoft Windows XP dan Microsoft Windows XP Service Pack 1

• Microsoft Windows XP 64-Bit Edition Service Pack 1 dan Microsoft Windows XP 64-Bit Edition Version 2003

• Microsoft Windows Server™ 2003 – Download the update

• Microsoft Windows Server 2003 64-Bit Edition – Download the update

Aplikasi

• Internet Explorer 6, SP 1

• Microsoft Office XP Service Pack 3

• Microsoft Office XP Service Pack 3 Software:
  Outlook® 2002
  Word 2002
  Excel 2002
  PowerPoint® 2002
  FrontPage® 2002
  Publisher 2002

• Microsoft Office 2003

• Microsoft Office 2003 Software:
  Outlook® 2003
  Word 2003
  Excel 2003
  PowerPoint® 2003
  FrontPage® 2003
  Publisher 2003
  InfoPath™ 2003
  OneNote™ 2003

• Microsoft Project 2002 Service Pack 1 (semua versi)

• Microsoft Project 2003 (semua versi)

• Microsoft Visio 2002 Service Pack 2 (semua versi)

• Microsoft Visio 2003 (semua versi)

• Microsoft Visual Studio .NET 2002

• Microsoft Visual Studio .NET 2002 Software:
  Visual Basic .NET Standard 2002
  Visual C# .NET Standard 2002
  Visual C++ .NET Standard 2002

• Microsoft Visual Studio .NET 2003

• Microsoft Visual Studio .NET 2003 Software:
  Visual Basic .NET Standard 2003
  Visual C# .NET Standard 2003
  Visual C++ .NET Standard 2003
  Visual J# .NET Standard 2003

• The Microsoft .NET Framework versi 1.0 SDK Service Pack 2

• Microsoft Picture It!® 2002 (semua versi)

• Microsoft Greetings 2002

• Microsoft Picture It! version 7.0 (semua versi)

• Microsoft Digital Image Pro version 7.0

• Microsoft Picture It! version 9 (semua versi, termasuk Picture It! Library)

• Microsoft Digital Image Pro version 9

• Microsoft Digital Image Suite version 9

• Microsoft Producer for Microsoft Office PowerPoint (semua versi)

• Microsoft Platform SDK Redistributable: GDI+

Sedangkan aplikasi yang tidak rentan secara "default" (rentan sejak pertama kali instal) adalah sebagai berikut :

Operating System

• Microsoft Windows NT Server 4.0 Service Pack 6a

• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

• Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4

• Microsoft Windows XP Service Pack 2

• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)

• Microsoft Windows Millennium Edition (Me)

Aplikasi

• Microsoft Office 2003 Service Pack 1

• Microsoft Office 2000

• Microsoft Visio 2003 Service Pack 1

• Microsoft Visio 2000

• Microsoft Project 2003 Service Pack 1

• Microsoft Project 2000

• Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10

• Internet Explorer 5.01 Service Pack 3 pada Windows 2000 Service Pack 3

• Internet Explorer 5.01 Service Pack 4 pada Windows 2000 Service Pack 4

• Internet Explorer 5.5 Service Pack 2 pada Microsoft Windows Millennium Edition

• The Microsoft .NET Framework version 1.0 Service Pack 3

• The Microsoft .NET Framework version 1.1 Service Pack 1

• The Microsoft .NET Framework version 1.1 Service Pack 1 for Windows Server 2003

PENTING !!

1. Anda harus melakukan Path pada "semua" komponen yang rentan, baik Operating System DAN Aplikasi. Sebagai contoh, jika anda menggunakan Windows 98 yang secara teknis tidak rentan atas GDI+ Exploit ini namun anda menggunakan Microsoft Office XP Service Pack 3 yang rentan atas GDI Exploit, maka jika aplikasi Office anda membuka file JPEG yang mengeksploitasi celah keamanan ini komputer anda akan berhasil ditaklukkan.

2. Demikian pula sebaliknya, jika anda menggunakan Microsoft Office Service Pack 1 yang tidak rentan namun dijalankan pada WIndows XP Service Pack 1 yang rentan, maka sistem anda tetap akan berhasil dieksploitasi jika membuka file JPEG karena OS Windows XP memiliki kemampuan untuk menjalankan GDI+ sendiri.

3. Meskipun Operating system anda dan Aplikasi yang disebutkan di atas sudah di patch, hal ini "tidak menjamin" sistem anda bebas dari eksploitasi GDI+ JPEG ini karena jika anda menjalankan aplikasi pihak ke tiga yang menggunakan GDI+ ini dan belum di patch, maka sistem anda akan berhasil dieksploitasi :(.

Bagaimana cara mengatasinya

Bagi anda yang menggunakan aplikasi dan OS yang kami sebutkan di atas, kami "sangat" sarankan untuk mengupdate sistem anda segera. Untuk informasi detail silahkan akses ke :

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx dan lakukan download sesuai dnegan konfigurasi sitem yang anda miliki.

Bagi semua pelanggan Vaksincom, patching akan diberikan secara gratis oleh PT. Vaksincom pada kunjungan rutin bulanan dan untuk mendapatkan kunjungan patching Gratis "segera" oleh teknisi Vaksincom silahkan melakukan koordinasi dengan bagian Customer Service ibu Dewi.

PT. Vaksincom mengeluarkan peringatan kepada seluruh pengguna internet Indonesia untuk berhati-hati karena menurut pemantauan kami, POC (Proof of Concept) atas eksploitasi GDI+ ini sudah berhasil dan beredar di internet. Diperkirakan dalam waktu yang tidak terlalu lama virus yang berhasil mengeksploitasi celah keamanan ini akan beredar.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@vaksin.com