Explorer 4 Crash Bug (Windows 95/98/NT)

Buco di sicurezza scoperto da Fabio Ciucci durante l'ultima settimana di Ottobre 1998.


Ho scoperto questo bug (bug significa errore in un programma) durante la programmazione di una nuova versione di Anfy, e non ho rivelato le informazioni necessarie a ricreare il problema per motivi di sicurezza. Nonostante questo, degli hacker hanno ricreato autonomamente il bug studiando la mia applet, e mi dissocio dai loro usi malefici del problema.

E' sufficiente un file .class lungo un solo KiloByte. E' una applet Java™ "impura", che usa le estensioni che la Microsoft ha aggiunto alle specificazioni Java™ ufficiali. L'applet non solo pianta miserevolmente internet explorer 4.0, 4.1 ed IE 5 beta, ma crasha anche l'intero sistema operativo Windows 95/98; tutte le applicazioni in esecuzione si piantano e il lavoro non salvato è perso. Su Windows NT, Internet Explorer si pianta, ma il sistema operativo nalla maggioranza dei casi è sempre usabile.

Attenzione: Alcuni hackers hanno già diffuso versioni maligne di questa applet, quindi virtualmente ogni pagina internet può far piantare il tuo sistema Windows, a meno che non sia installata la patch della Microsoft. Anche le applet mandate come file attaccati alle email possono far piantare il sistema. Gli utenti che non hanno protezione contro il problema non avranno opportunità di prevenire un crash totale e il lavoro non salvato sarà perso. Per questo più che di un bug, si tratta di un buco di sicurezza.

Questo non è un virus: Infatti l'applet non può autoreplicarsi autonomamente, ma deve essere diffusa intenzionalmente volta volta da persone malefiche, come un Cavallo di Troia. Questo, può trovarsi in un sito internet che si visita o può esservi mandato attaccato ad una e-mail, e si tratta di diffusione intenzionale (gli hackers comunque possono anche inserire le applet malefiche in un sito senza che il padrone del sito lo sappia, se il sito è "hackerabile").

SOLO GLI INTERNET EXPLORER 4 PER WINDOWS 95/98/NT NON AGGIORNATI SONO A RISCHIO: L'applet non funzionerà in ambienti Java™ puri al 100%, come Netscape Navigator, HotJava™ di Sun o usando il Java™ Plugin. Java™ è una tecnologia sicura ed affidabile, se correttamente implementata. Il bug è presente soltanto nelle estenzioni Microsoft non-standard (e probabilmente anche non totalmente legali) al Java™ nei sistemi Windows. L'applet non pianta Explorer 3 o precedenti, e non ha effetti sulle versioni per Windows 3.1 o Macintosh.

Articoli in relazione con il tema:


Da: "DirectDraw bug causes crashes", CNET News.com:

"This is a denial-of-service problem in that it prevents you from using the system," said Microsoft product manager for platform marketing Joe Herman. "[Ciucci's] applet is hanging the system, and it's a bug that we need to correct.", Herman did not know when Microsoft would issue a patch.


Da: "Sun free to terminate Microsoft's Java™ contract", PC Week Online:

"With a ruling due anytime now in the Java™ case between Microsoft Corp. and Sun Microsystems, a key date has come and gone -- the first anniversary of the suit -- and that means Sun now has the right to terminate Microsoft's Java™ license."


Da: "Finjan Issues Internet Explorer Hostile Code Alert", NEWSBYTES Top Story:

"Finjan advises customers take precautions against a serious security hole recently discovered in Microsoft's implementation of Java™ in Internet Explorer. [...] These applets can be included in any Web page, or sent via e-mail attachments. [...] by maliciously programming the Microsoft Java™ extensions, hackers can access various Windows capabilities normally inaccessible in "100% pure" Java™ environments. [...] hackers can reach various desktop resources and stop service completely. Computer users lose all unsaved work and are forced to reboot. In its variants, the Ciucci Java™ applet exploitation can also wait silently several minutes after the applet loads, and only later crash the browser, making it difficult to trace the origin of the applet".

Patches, Soluzioni e Protezioni

Dopo un mese, la Microsoft ha rilasciato una patch ("toppa").


La Microsoft ha rilasciato un'aggiornamento del suo Java™ il 7 Dicembre 1998, forzata di includere le funzionalità mancanti per la compatibilità 100% col Java™, dopo la sentenza preliminare nel caso contro la Sun (è mia personale opinione, che la Microsoft abbia provato molte volte ad accudere la tecnologia Java™, inserendoci estenzioni non portabili e togliendo alcuni package standard, perchè il Java™ funziona fuori da Windows, ma sembra che queste mosse monopolistiche siano state notate dalla corte e dai giudici).
Anzichè fare una versione funzionante della funzione contenente il pericoloso bug, la Microsoft ha rimosso silenziosamente tutto il supporto di directX e directDraw dal Java™, infatti gli esempi che usano il directDraw nel vecchio Java™ SDK Microsoft non funzionano più. E' interessante notare, che la Microsoft non ha informato gli utenti dell'esistenza di questo bug, togliendolo in sordina alla prima occasione, probabilmente sperando che nessuno mai sappia che è esistito? E, comunque, continua ad esistere in tutti i Windows 98 ed Explorer rilasciati prima del 7 Dicembre.
Ecco un paio di link dove è possibile scaricare l'aggiornamento Java™:

http://www.microsoft.com/java/vm/dl_vm31.htm
http://www.microsoft.com/windows/ie/download/jvm.htm

Alcuni produttori di antivirus stanno aggiungendo il supporto per bloccare l'esecuzione delle applet maligne.

Finjan ha annunciato il suo SurfinGate 4.02, un proxy HTTP in grado di prevenire l'esecuzione delle applet maligne.

Consiglio di tornare a www.anfyteam.com/iebug/ per leggere le ultime novità e scaricare protezioni o antivirus.

Test di Vulnerabilità

Puoi testare qua se il tuo Internet Explorer soffre del buco di sicurezza.


Vai alla pagina del crash-test a tuo rischio e pericolo. Il rischio è solo per gli utenti che usano Internet Explorer senza l'ultimo aggiornamento del Java™. Con Netscape oppure sistemi operativi diversi da Windows non ci sono rischi.

Controllo dell'Attività degli Hacker

Per favore, avvisatemi di qualsiasi sito che contenga delle "Ciucci bug" applet.
Ecco la lista dei siti conosciuti. Nota: Non ho niente a che fare con questa gente!


http://www.damnation.net/iecrash/IECRASH.ZIP
http://hackersclub.com/km/library/hack/iecrash/

Ho pubblicato questi siti solo dopo il rilascio della patch da parte della Microsoft, per evitare la diffusione di questi files prima che esistesse una difesa. Comunque, lo scopo di questi link è di avvertire i navigatori internet e i produttori di antivirus circa le varie versioni delle applet ostili, o magari fare in modo che qualcuno faccia qualcosa contro di loro, NON PER DISTRIBUIRE I FILES PER USI MALIGNI.


Se hai novità su questo argomento, inclusi annunci di nuovi antivirus o protezioni, oppure nuove versioni modificate dell'applet maligna, contattami attraverso la contact page sul sito www.anfyteam.com.
Se hai un sito web, ti consiglio di scaricare gratuitamente Anfy 1.4, il mio programma, che con semplicità rende possibile aggiungere svariati effetti speciali alle pagine html.


Site Copyright © 1997,98,99 Fabio Ciucci. Java™ and all Java-based marks are trademarks or registered trademarks of Sun Microsystems, Inc. in the United States and other countries. Fabio Ciucci is independent of Sun Microsystems, Inc.