Znane programy są podatne na ataki

Strona głównaZnane programy są podatne na ataki
26.08.2010 15:32
Znane programy są podatne na ataki
Źródło zdjęć: © Jupiterimages

Odkąd HD Moore opublikował szczegóły dotyczące ujawnionego w zeszłym tygodniu problemu DLL w Windows oraz przygotował specjalne narzędzie testowe, pojawia się coraz więcej doniesień o dotkniętych usterką aplikacjach i pisanych dla nich exploitach

Zagrożenie

Oprócz Firefoksa i Opery wśród podatnych na ataki programów są takie popularne aplikacje jak PowerPoint, Photoshop, Dreamweaver, VLC, µTorrent i Wireshark - każda w aktualnej wersji. Korzystają one z niechronionego wariantu ładowania bibliotek DLL, gdzie we wczesnej fazie kolejności wyszukiwania pojawia się bieżący katalog roboczy - może to być również napęd sieciowy.

288765477336135827
Źródło zdjęć: © Odtwarzacz VLC podawany jest jako jedna z zagrożonych aplikacji (fot. videolan.org/vlc/)

Exploitowe pliki DLL mają prostą konstrukcję i oprócz szkodliwego kodu zawierają często jedynie puste funkcje. Wpisując w serwisie Exploit Database frazę wyszukiwania DLL Hijacking, otrzymujemy na bieżąco nowe exploity pisane specjalnie pod kątem znanych programów użytkowych. Działający w projekcie Metasploit programista HD Moore oferuje narzędzie DLLHijackAuditKit, które pozwala samodzielnie wyszukać wadliwe aplikacje. Rozwiązanie

Co prawda Microsoft opublikował wczoraj ostrzeżenie dotyczące problemu, ale na wydanie przezeń łaty raczej się nie zanosi. To raczej producenci aplikacji będą musieli poprawić własne produkty.

Ochrona

Wśród specjalistów od bezpieczeństwa IT toczy się dyskusja, czy w ogóle należy obarczać twórców aplikacji winą za zaistniały problem. Secunia uważa, że doprowadziły do niego złe nawyki programistyczne polegające na podawaniu niepełnych ścieżek, a co za tym idzie, pozostawianiu pracy systemowi Windows. Co ciekawe, nawet Geoffroy Couprie z projektu VLC wypowiada się w podobnym tonie, mimo że pierwsze testy wykazały również wadliwość odtwarzacza VLC.

Uzupełnienie

Sposób i kolejność wyszukiwania bibliotek określa w Windows opcja SafeDLLSearchMode. Jeśli jest włączona, katalog bieżący wędruje na koniec listy i problem występuje rzadziej; gdy zaś ją wyłączymy, Windows już w drugim etapie poszukiwania pliku biblioteki "odwiedza" bieżący katalog roboczy i ewentualnie ładuje DLL.

Aktualną listę zagrożonych aplikacji najłatwiej znaleźć w bazach zajmujących się bezpieczeństwem firm Secunia i VUPEN, wpisując w pasku wyszukiwania frazę "insecure library loading". Poza tym nowe exploity pojawiają się na bieżąco w serwisie www.exploit-db.com.

W ramach ochrony można sięgnąć po specjalne narzędzie Microsoftu, które analizuje nowo wprowadzane wpisy Rejestru. Szczegóły podają eksperci z działu bezpieczeństwa koncernu w blogu Technet.

wydanie internetowe www.heise-online.pl

Udostępnij:
Wybrane dla Ciebie
Komentarze (0)