Sicherheit - Gefährliche Lücke in Tausenden Programmen

Eine Sicherheitslücke im Zusammenhang mit dem Nachladen von Programmbibliotheken in Windows macht Tausende von Programmen angreifbar.

von Georg Wieselsberger,
29.08.2010 18:34 Uhr

Moderne Programme verwenden sogenannte DLLs (Dynamic Link Libraries), die viele Standardfunktionen enthalten, die so nicht von jedem Entwickler erneut programmiert werden müssen. Manche Programme benötigen spezielle DLLs, die dann meistens ebenfalls installiert und beispielsweise in das Programmverzeichnis kopiert werden.

Windows selbst enthält Hunderte dieser DLLs, die von den Anwendungen angefordert werden können. Bei einer Anforderung sucht das System an verschiedenen Stellen nach der DLL-Datei, unter anderem auch im aktuellen Arbeitsverzeichnis, das auch in einem Netzwerk oder gar im Internet liegen kann. Auf diese Weise ist es Angreifern möglich, auf einem Server eine präparierte DLL zu platzieren, auf dem auch eine beliebige andere Datei gespeichert ist.

Wird diese Datei heruntergeladen und durch eine Anwendung verarbeitet, beispielsweise eine MP3- oder eine Torrent-Datei, so wird diese Anwendung dafür mehrere DLLs vom System anfordern. Dabei ist es möglich, dass die präparierte DLL vor der »korrekten« Datei im System gefunden wird und so einen Angriff auf den Rechner mit den Rechten des aktuellen Nutzers ermöglicht.

Das Problem wird dadurch verstärkt, dass viele Entwickler Programmteile verwenden, die DLLs anfordern, die für die aktuelle Anwendung gar nicht benötigt werden oder auf so gut wie keinem System vorhanden sind. Letzteres macht einen Angriff deutlich einfacher, da in fast jedem Fall die präparierte DLL geladen wird.

Zu den angreifbaren Programmen gehören beispielsweise Firefox, Thunderbird, uTorrent oder VLC, wobei die beiden letzteren Anwendungen das Problem bereits durch ein Update gelöst haben. Die Schätzungen über die Anzahl der durch »Binary Planting« betroffenen Programme gehen von einigen Hundert bis zu einigen Tausend.

Microsoft hat einen Workaround veröffentlicht, der über einen Eintrag in der Registrierungsdatenbank das aktuelle Arbeitsverzeichnis komplett aus dem Suchpfad entfernen kann. Diese Möglichkeit ist jedoch nur für erfahrene Anwender gedacht und kann zudem dazu führen, dass einige Anwendungen nicht mehr korrekt funktionieren.


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...