Časom sa vrátili správy o bezpečnostnom probléme, ktorý ovplyvnil približne 40 rôznych aplikácií systému Windows. Spoločnosť Microsoft rýchlo reagovala na takéto hlásenia potenciálnych nultých útokov proti takýmto programom Windows publikovaním aktualizácie alebo nástroja na zablokovanie takýchto zneužívaní. Microsoft však tiež objasnil, že chyba nie je v systéme Windows.
Nástroj na zablokovanie únosov zaťaženia DLL
Spoločnosť Microsoft vydala Poradca pre bezpečnosť (2269637) s názvom Nesprávne načítanie knižníc umožňuje vzdialené spustenie kódu.
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Spoločnosť Microsoft tiež vydala aktualizáciu, ktorá zablokuje načítanie DLL zo vzdialených adresárov, čím zabraňuje úniku DLL.
Táto aktualizácia zavádza nový kľúč databázy Registry CWDIllegalInDllSearch, ktorý umožňuje používateľom ovládať algoritmus vyhľadávacej cesty DLL. Algoritmus vyhľadávacích ciest DLL používa API LoadLibrary a API LoadLibraryEx pri načítaní DLL bez zadania úplne kvalifikovanej cesty.
Keď aplikácia dynamicky načíta DLL bez zadania plne kvalifikovanej cesty, systém Windows sa pokúsi lokalizovať túto DLL vyhľadaním cez dobre definovanú sadu adresárov. Tieto súbory adresárov sú známe ako cesta vyhľadávania DLL. Akonáhle systém Windows nájde DLL v adresári, systém Windows načíta túto DLL. Ak systém Windows nenašiel DLL v ľubovoľnom z adresárov v poradí vyhľadávania DLL, systém Windows vráti zlyhanie operácie načítania DLL.
Ďalšie podrobnosti a odkazy na stiahnutie na stránke KB2264107.
