Keletas laiko buvo pranešimų apie saugumo problemą, kuri paveikė apie 40 skirtingų "Windows" programų. "Microsoft" greitai reagavo į tokias ataskaitas apie galimus nulinio dienų išpuolius prieš tokias "Windows" programas, paskelbdama atnaujinimą ar įrankį blokuoti tokius išnaudojimus. Tačiau "Microsoft" taip pat paaiškino, kad trūkumas nėra "Windows" sistemoje.
Įrankis blokuoti DLL apkrovimo užgrobimo išpuolius
"Microsoft" išleido saugumo patarimą (2269637) pavadinimu "Nepagrįsta biblioteka", leidžianti nuotolinio kodo vykdymą.
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft taip pat išleido naujinį, kuris blokuos DLL įkėlimą iš nuotolinių katalogų, taip užkirsdamas kelią DLL hijackings.
Šis naujinimas pristato naują registro raktą CWDIllegalInDllSearch, kuris leidžia vartotojams valdyti DLL paieškos kelio algoritmą. DLL paieškos kelio algoritmą naudoja LoadLibrary API ir LoadLibraryEx API, kai įkraunami DLL, nenurodant visiškai tinkamo kelio.
Kai programa dinamiškai įkelia DLL, nenurodydama visiškai tinkamo kelio, "Windows" bando rasti šią DLL, ieškodama gerai apibrėžto katalogų rinkinio. Šie katalogų rinkiniai yra žinomi kaip DLL paieškos kelias. Kai "Windows" nustato DLL kataloge, "Windows" įkelia tą DLL. Jei "Windows" neranda DLL bet kuriame kataloge, esančioje DLL paieškos eilėje, "Windows" sugrąžins DLL įkėlimo operaciją.
Daugiau informacijos ir parsisiuntimo nuorodas rasite adresu KB2264107.
