Co dalej z luką w ładowaniu plików DLL?

25.08.2010 21:27, Autor: Grzegorz Niemirowski (gniemirowski), Kategoria: News

Od kilku dni głośno jest o luce, która powoduje, że możliwe jest załadowanie przez aplikację szkodliwego pliku DLL. Wygląda na to, że problem nie zostanie szybko rozwiązany.

Niebezpieczeństwo wynika głównie ze źle napisanych aplikacji, które ładując biblioteki DLL nie korzystają z w pełni kwalifikowanych ścieżek i przeszukują także katalog bieżący. Może się tak dziać z winy określonego fragmentu kodu w programu lub też użycia niewłaściwej funkcji API systemu Windows. Problem leżał po stronie Microsoftu w przypadku starych, niewspieranych już wersji Windows. Tam funkcja API przeznaczona doładowania plików DLL wykonywała to w niebezpieczny sposób.

Teraz więc problem uporania się z zagrożeniem spoczywa na barkach twórców poszczególnych programów. Microsoft będzie ich powiadamiał o niebezpieczeństwie za pomocą Microsoft Vulnerability Research Program. Korporacja opublikowała także poradnik dosyć szczegółowo opisujący całe zagadnienie. Powstał także artykuł pomagający programistom zaimplementować bezpieczne ładowanie bibliotek. Pokazano także jak sprawdzić czy aplikacja nie próbuje załadować pliku DLL z katalogu bieżącego. Microsoft zapowiedział także, że sprawdzi własne aplikacje pod kątem opisywanej podatności i w razie potrzeby wyda dla nich stosowne łatki.

Tak więc nie mamy do czynienia z typową dziurą w systemie operacyjnym, na którą zostanie wydana poprawka rozwiązująca problem. Zamiast tego jest wiele niepoprawnie napisanych aplikacji, w tym autorstwa Microsoftu, na które ich twórcy będą musieli wydać łatki. Będzie się więc można spodziewać sporej ilości nowych wirusów, atakujących głównie najpopularniejsze z podatnych programów. Z drugiej strony w celu przeprowadzenia ataku atakujący musi nakłonić ofiarę do otwarcia przygotowanego przez siebie katalogu (sieciowego poprzez SMB lub WebDAV albo pendrive'a) przy użyciu dziurawego programu. Użytkownik może więc być bezpieczny jeśli będzie pamiętać aby nie otwierać zewnętrznych lokalizacji z wnętrza aplikacji. Oczywiście najlepiej jest po prostu dokonać aktualizacji swoich programów gdy tylko stosowne poprawki zostaną wydane.

Aktualizacja, 25.08.2010, 23:37

Microsoft udostępnił aktualizację, która pozwala wyłączyć wyszukiwanie plików DLL w katalogu bieżącym. Sama jej instalacja niczego nie zmienia ale sprawia, że będzie brany pod uwagę klucz rejestru sterujący przeszukiwaniem katalogów. Tak więc po instalacji poprawki trzeba ustawić odpowiednią wartość wpisu. Można wyłączyć uwzględnianie katalogu bieżącego, wyłączyć dla katalogów zdalnych, wyłączyć dla katalogów WebDAV lub włączyć (ustawienie domyślne). Szczegółowy opis konfiguracji jest opisany w odpowiednim artykule. Należy podkreślić, że udostępniona przez Microsoft poprawka wpływa na aplikacje korzystające z funkcji LoadLibrary oraz LoadLibraryEx, nie wpłynie więc na programy odnajdujące biblioteki w inny sposób.

komentarze (24) podobne

r e k l a m a

Komentarze (24)

Mayron | 25.08.2010 22:04#1

"Taka sytuacja ma miejsce w Windows 2000. Występuje także w Windows XP (SP0 i SP1) oraz Windows 2000 SP4"

mariant (niezalogowany) | 25.08.2010 22:13#2

ładnie to ujęte,najlepiej jest po prostu dokonać aktualizacji swoich programów gdy tylko stosowne poprawki zostaną wydane.Powstaje zasadne pytanie kiedy?

przemeko (niezalogowany) | 25.08.2010 22:16#3

@Mayron

Czyli problem duży ale ze świecą szukać tego, który z tych wersji korzysta :)

przemor25 | 25.08.2010 22:19#4

"Użytkownik może więc być bezpieczny jeśli będzie pamiętać aby nie otwierać zewnętrznych lokalizacji z wnętrza aplikacji."

Użytkownik będzie bezpieczny jak zainstaluje sobie Windows XP SP3 bo z Windows 2000 to korzysta 0,34%.

gniemirowski | 25.08.2010 22:32#5

@przemor25: chodzi o to, że od XPSP2 w górę jeśli problem występuje, to nie z winy Windows a samej aplikacji. Nie jest więc tak, że jak ktoś ma XPSP2 lub późniejszy to jest bezpieczny. Jest bezpieczniejszy ale nie do końca, nadal program może być dziurawy.

peter. (niezalogowany) | 25.08.2010 22:36#6

Czyli ta paranoja z bezpieczeństwem zaczyna gonić w piętkę.

Pewnie następnym krokiem będzie podpisywanie dllek certyfikatami za 500$.

PiotrVista | 25.08.2010 22:40#7

Nie na temat ale w "Centrum pobierania Microsoft Windows" pojawiło się mnóstwo nowych aktualizacji:

http://img641.imageshack.us/img641/5848/centrumpobieraniamicros.png

Zapraszam do pobierania:

http://www.microsoft.com/downloads/pl-pl/results.aspx?sortCriteria=Date&nr=3...

Extraordinarykid | 25.08.2010 23:43#8

"Microsoft zapowiedział także, że sprawdzi własne aplikacje pod kątem opisywanej podatności i w razie potrzeby wyda dla nich stosowne łatki."

"Zamiast tego jest wiele niepoprawnie napisanych aplikacji, w tym autorstwa Microsoftu,.."

To w końcu Microsoft sprawdzi, czy ich aplikacje są dziurawe, czy już to wiadomo ?
Sorry za upierdliwość, ale ten drugi cytat brzmi, jak osąd.

Wania123 (niezalogowany) | 26.08.2010 0:07#9

To dziwne, to funkcja systemu a nie jakaś tam luka, ktoś zaraz powie że "otwórz" to malware.

sunbeam96 | 26.08.2010 0:17#10

Już słyszę sweet dżolę xD

Pyta3 (niezalogowany) | 26.08.2010 1:23#11

A to nie jest tak, ze najpierw aplikacja powinna szukac dll w swoim katalogu a potem w windows/system32 ?? Przeciez duzo aplikacji ma swoje dll-lki ktorych nie musza wspoldzielic z systemem ? Jesli nie zaladuja ich ze swojego katalogu to niby skad maja je wziac ? Cos mi to wsystko smierdzi !!

an.szop | 26.08.2010 7:20#12

I to mi się podoba.
MS robi co może ze wsparciem i nie umywa rąk od tego.
NIe tak jak Google, który twierdzi inaczej i umywa ręce od źle zaimplementowanego zzbezpieczeń w swoim API i zrzuca winę na programistów.
A tu MS dokładnie opisuje co i jak zrobić, pełne opisy, wsparcie - zresztą z MS zawsze tak było, jeśli chodzi o wsparcie.

Czekam teraz na krok Google w ten sam sposób.

Pozdrawiam

addos (niezalogowany) | 26.08.2010 8:00#13

@wozniak.daniel
I Google i MS lecą sobie w trąbkę. Nie powinno mieć miejsca ani jedno ani drugie. Nie ma co usprawiedliwiać takich sytuacji. Ważne jeśli szybko poprawią a nie, że znaleziono błąd. Bo jeśli reakcja będzie szybka, to sprawy nie ma, ale jeśli będzie się to ciągnąć miesiącami lub latami to znaczy, że bezpieczeństwo jest cienkie.

przemor25 | 26.08.2010 8:33#14

@gniemirowski (redakcja)

Dzięki za info.

wq (niezalogowany) | 26.08.2010 11:25#15

wszystkie systemy mają luki tylko jak się pojawia iformacja o linuksowej luce to jusz jest załatana
w widowsie jest innaczej niejest załatana.

tomimaki | 26.08.2010 14:21#16

Uważajcie. Photoshop ma tą lukę.
http://blog.zoller.lu/2010/08/cve-2010-xn-loadlibrarygetprocaddress.html

Da®Win (niezalogowany) | 26.08.2010 20:06#17

Windows:
-system, w ktorym latwiej zainstalowac trojana niz dowolny inny program.

Blady2011 | 26.08.2010 20:09#18

Wydał łatkę tylko dla Windows 7 x86 ??

Blady2011 | 26.08.2010 20:10#19

a nie tylko wy podaliście link do tej wersji

przemor25 | 27.08.2010 15:43#20

@Da®Win

To dziwne... Ja mam inne doświadczenia :P

tomimaki | 27.08.2010 16:50#21

Zestaw programów z luką:
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_des...=

tomimaki | 27.08.2010 19:27#22

VLC 1.1.4 ma już załataną tą lukę.

ra-v | 28.08.2010 20:59#23

A jak to może wygladać w aplikacjach uruchamianych z WINE pod MacOS-ami i Linux-amI? Jest to aż tak niebezpieczne?

sunbeam96 | 29.08.2010 2:35#24

ra-v, nie ;]

Dodaj komentarz

Zasady publikowania komentarzy

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk.
Szczegółowe zasady publikowania komentarzy.