Windows DLL 漏洞影响数百种应用程式

Windows DLL 漏洞影响数百种应用程式
                                                                                                                                                                                                                                         资安研究员24日表示，Windows作业系统处理DLL(动态连结程式库)与相关档案的方式有安全漏洞，可能影响数百种应用程式，而网路上已有人利用此漏洞发动恶意攻击。


微软公司周一发布安全性摘要报告指出，已发现一种称为「DLL preloading」或「binary planting」的攻击手法，虽然手法并不新，但却是一种新的远端攻击途径(remote attack vector)。恶意程式码可藉此植入共享网路(network share)，而不只是植入一台本机系统(local system)，这让骇客更容易诱拐民众点击恶意网站连结或开启含毒的文件，使系统遭到骇客攻击。


资安公司Acros上周揭露这个问题，指出iTunes受到影响，而Rapid7技术长HD Moore本周提供更多的资讯，并释出一种工具，可用来测试某种应用程式是否内含这个安全漏洞。


资安公司Offensive Security的创办人Mati Aharoni说，目前为止，该公司管理的Exploit-db.com的exploit资料库已接获各界举报众多应用程式可能内含安全漏洞，包括Windows Live Mail、Windows Movie Maker、Microsoft PowerPoint 2010、Office 2007，以及非微软软体如Firefox 3.6.8、Foxit Reader、Wireshark和uTorrent等等。

另有使用者在Full Disclosure邮件论坛上发文指称，Windows XP里的Windows Address Book也有安全漏洞。


Aharoni说：「单是在今天，一天内上传至Exploit-db的各种Windows应用软体的exploits数量就打破纪录...全都是与同一种安全漏洞有关。现在数目已达到数十种。」但他预测受影响应用程式的总数很快就会增加到数百种。


同时，研究员发现，网路上已有一些利用这个安全漏洞发动恶意攻击的事例。  


Aharoni说：「这可说主要是Windows的问题，但要解决问题，你必须彻底改变Windows载入各种DLL档的方式，这会变得极为棘手，无疑会破坏许多的应用程式。」


微软已释出一项工具，让系统管理员降低系统遭到攻击的风险。


微软公关回应经理Jerry Bryant说：「目前本公司正在分析我们自己的应用程式，以查明是否有任何应用程式受到这种新的远端攻击途径影响。因此，我们会采取适当行动保护客户，可能的措施包括发布安全通告和安全更新，以降低风险和解决问题。

微软并建议客户审视安全性摘要报告(2269637)，并落实文中建议的防范措施。微软还说：「另一点值得注意的是，DLL planting需要使用者大量的配合，不会只因浏览网页就遭到入侵。骇客必须说服使用者点击一个连结，连向他们的SMB (Server Message Block)或WebDAV (Web-based Distributed Authoring and Versioning)共享资源，然后再唆使使用者从那里开启一个档案，才会带出额外的对话(dialogs)，提示使用者同意那个动作。」


Moore建议系统受影响的使用者「不要从陌生人那里开启连结或网路共享连结」。

http://www.zdnet.com.tw/news/sof ... 678,20147223,00.htm

x0