Windows DLL 漏洞影响数百种应用程式 资安研究员24日表示,Windows作业系统处理DLL(动态连结程式库)与相关档案的方式有安全漏洞,可能影响数百种应用程式,而网路上已有人利用此漏洞发动恶意攻击。
微软公司周一发布安全性摘要报告指出,已发现一种称为「DLL preloading」或「binary planting」的攻击手法,虽然手法并不新,但却是一种新的远端攻击途径(remote attack vector)。恶意程式码可藉此植入共享网路(network share),而不只是植入一台本机系统(local system),这让骇客更容易诱拐民众点击恶意网站连结或开启含毒的文件,使系统遭到骇客攻击。
资安公司Acros上周揭露这个问题,指出iTunes受到影响,而Rapid7技术长HD Moore本周提供更多的资讯,并释出一种工具,可用来测试某种应用程式是否内含这个安全漏洞。
资安公司Offensive Security的创办人Mati Aharoni说,目前为止,该公司管理的Exploit-db.com的exploit资料库已接获各界举报众多应用程式可能内含安全漏洞,包括Windows Live Mail、Windows Movie Maker、Microsoft PowerPoint 2010、Office 2007,以及非微软软体如Firefox 3.6.8、Foxit Reader、Wireshark和uTorrent等等。
另有使用者在Full Disclosure邮件论坛上发文指称,Windows XP里的Windows Address Book也有安全漏洞。
Aharoni说:「单是在今天,一天内上传至Exploit-db的各种Windows应用软体的exploits数量就打破纪录...全都是与同一种安全漏洞有关。现在数目已达到数十种。」但他预测受影响应用程式的总数很快就会增加到数百种。
同时,研究员发现,网路上已有一些利用这个安全漏洞发动恶意攻击的事例。
Aharoni说:「这可说主要是Windows的问题,但要解决问题,你必须彻底改变Windows载入各种DLL档的方式,这会变得极为棘手,无疑会破坏许多的应用程式。」
微软已释出一项工具,让系统管理员降低系统遭到攻击的风险。
微软公关回应经理Jerry Bryant说:「目前本公司正在分析我们自己的应用程式,以查明是否有任何应用程式受到这种新的远端攻击途径影响。因此,我们会采取适当行动保护客户,可能的措施包括发布安全通告和安全更新,以降低风险和解决问题。
微软并建议客户审视安全性摘要报告(2269637),并落实文中建议的防范措施。微软还说:「另一点值得注意的是,DLL planting需要使用者大量的配合,不会只因浏览网页就遭到入侵。骇客必须说服使用者点击一个连结,连向他们的SMB (Server Message Block)或WebDAV (Web-based Distributed Authoring and Versioning)共享资源,然后再唆使使用者从那里开启一个档案,才会带出额外的对话(dialogs),提示使用者同意那个动作。」
Moore建议系统受影响的使用者「不要从陌生人那里开启连结或网路共享连结」。
http://www.zdnet.com.tw/news/softwa...20147223,00.htm