LISTSERV mailing list manager LISTSERV 15.5

Help for BIBLIST Archives


BIBLIST Archives

BIBLIST Archives


View:

Next Message | Previous Message
Next in Topic | Previous in Topic
Next by Same Author | Previous by Same Author
Chronologically | Most Recent First
Proportional Font | Monospaced Font

Options:

Join or Leave BIBLIST
Reply | Post New Message
Search Archives


Subject:

Re: Angående VIRUS via e-post

From:

Gunnar Gunnarsson <[log in to unmask]>

Reply-To:

BIBLIST - Topics in Nordic research library user services <[log in to unmask]>

Date:

Sun, 29 Nov 1998 21:59:52 +0100

Content-Type:

text/plain

Parts/Attachments:

Parts/Attachments

text/plain (1 lines)


Jag har noterat att det pågår en diskussion om huruvida man kan bli
smittad av virus bara genom att läsa ett e-brev (utan att öppna några
bilagor). Eftersom några inlägg har hänvisat till min artikel i
Navigera:

http://www.pagina.se/navigera/1998/Nr6/artikel.html

vill jag gärna göra några kommentarer.

Man brukar säga att datorn inte kan smittas av virus bara genom att man
öppnar ett e-brev, dvs det krävs att man öppnar bilagor till brevet för
att viruset ska kunna sprida sig. Anledningen är att virusets programkod
måste exekveras av processorn för att kunna göra någon skada.

Denna gamla "sanning" stämmer inte riktigt längre. Anledningen är att
ett programfel i några av de vanligaste e-postprogrammen gör det möjligt
att få processorn att exekvera delar av _brevtexten_ som programkod.

Tekniskt sett är det ett relativt enkelt programfel ("buffer overflow"),
som ofta görs av studenter på nybörjarkurser i programmering (och ibland
även av erfarna programmerare, tyvärr). Man har helt enkelt glömt att
kontrollera att en textsträng får plats i det område ("buffert") där den
ska lagras. En alltför lång textsträng kan därmed få bufferten att bli
överfull, och de överflödiga data kan skriva över ett särskilt värde i
minnet (återhoppsadressen). Processorn kommer förr eller senare att läsa
detta värde och börja exekvera kod på den adress som anges där. Genom
programfelet blir det möjligt för ett virus att ange adressen till sin
egen programkod på denna plats i minnet, och viruset kan därmed få
processorn att exekvera sin programkod.

Felet har bekräftats av berörda tillverkare (bl.a Microsoft och
Netscape), samt av fristående organisationer som CERT:

http://www.cert.org/advisories/CA-98.10.mime_buffer_overflows.html

Tyvärr kommer den här händelsen säkert att orsaka stor förvirring,
eftersom det är vanligt med falska e-postvirus (exempelvis Good Times),
som påstår att de har smittat datorn trots att så inte är fallet. Sådana
"hoax"-brev har orsakat onödig oro hos många användare, och
systemadministratörerna har ägnat mycket energi åt att förklara att
datorn inte kan bli infekterad bara genom att man öppnar ett e-brev. När
detta inte längre riktigt gäller blir det nog svårt för många användare
att hålla isär begreppen.

Lyckligtvis finns det inte några rapporter om virus som utnyttjar detta
programfel. Det betyder inte att man inte behöver ta problemet på
allvar. Internet-masken, som 1988 praktiskt taget stängde av Internet,
byggde på samma typ av programfel ("buffer overflow"). Om någon gör ett
virus som utnyttjar det här felet kan konsekvenserna bli mycket
obehagliga.

Som tur är finns det enkla sätt att skydda sig mot det här felet (se
referenserna i min artikel), och jag hoppas att många användare vidtar
de nödvändiga åtgärderna.

//Gunnar

--
+-----------------------------------------------------------------+

! Gunnar Gunnarsson ([log in to unmask], www.cs.umu.se/~gunnar) !

! Institutionen för datavetenskap, Umeå universitet !

+-----------------------------------------------------------------+


Back to: Top of Message | Previous Page | Main BIBLIST Page

Permalink



SEGATE.SUNET.SE

CataList Email List Search Powered by the LISTSERV Email List Manager