Nekada su se javljala izvješća o sigurnosnom problemu koji utječu na oko 40 različitih aplikacija sustava Windows. Microsoft je brzo reagirao na takva izvješća o potencijalnim nul-danim napadima na takve Windows programe objavljivanjem ažuriranja ili alata za blokiranje takvih poteškoća. Microsoft je također pojasnio da taj nedostatak nije u sustavu Windows.
Alat za blokiranje DLL tereta otmice napada
Microsoft je izdao Sigurnosni savjetnik (2269637) pod nazivom "Neuravnotežena knjižna učitavanja mogu dopustiti daljinsko izvršavanje koda".
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft je također objavio Ažuriranje koje će blokirati učitavanje DLL-a iz udaljenih direktorija, čime se sprječava DLL Hijackings.
Ovo ažuriranje uvodi novi ključ registra CWDIllegalInDllSearch koji korisnicima omogućuje kontrolu algoritma pretraživanja DLL alata. Algoritam traženja DLL-a koristi LoadLibrary API i LoadLibraryEx API kada se DLL učita bez specificiranja potpuno kvalificiranog puta.
Kada aplikacija dinamički učita DLL bez navođenja potpuno kvalificirane staze, Windows pokušava pronaći taj DLL pretraživanjem kroz dobro definirani skup direktorija. Ti skupovi direktorija poznati su kao DLL traženi put. Čim Windows pronađe DLL u direktoriju, Windows učitava taj DLL. Ako sustav Windows ne pronađe DLL u bilo kojem od direktorija u redoslijedu pretraživanja DLL, Windows će vratiti neuspjeh u DLL operaciju opterećenja.
Više detalja i linkovi za preuzimanje na KB2264107.
