Il "binary over jpeg" è il meccanismo che nasconde un trojan horse in un'immagine JPEG e che viene attivato dall'utente nel momento in cui scarica l'immagine.
Molti prodotti Microsoft, inclusi i programmi della suite Office, Internet Explorer, Windows XP e Windows Server 2003, utilizzano un file DLL (dynamic link library) chiamato GDIPlus.dll. Contiene librerie per l'API GDI+ (Graphical Device Interface Plus). Questo permette ai programmatori di rappresentare gli oggetti grafici e trasmetterli a dispositivi d'output, come monitor e stampanti. Questa DLL permette di processare immagini JPEG. Purtroppo, il modo in cui gestisce le immagini JPEG può provocare un buffer overflow.
Per sfruttare la vulnerabilità, chi compie l'attacco ha bisogno soltanto che la vittima visualizzi l'immagine JPEG camuffata. Questo file è tipicamente inviato all'interno di un messaggio email HTML o visualizzato su un sito Web. L'immagine JPEG può anche essere contenuta in un file Word, PowerPoint o in un altro documento di Microsoft Office. Una volta visualizzata, il codice trojan horse contenuto verrà eseguito sul sistema infetto con i privilegi dell'applicazione che ha aperto il file JPEG. Questa vulnerabilità, annunciata a settembre 2004, a causa della sua gravità ha richiesto da parte della Microsoft una patch dedicata
Fonte:
http://searchsecurity.techtarget.it/01NET/HP/0,1254,18_ART_77088,00.html?lw=19
