News-Meldung vom 24.08.2010 14:35
In einem Advisory warnt Microsoft vor einem verbreiteten Programmierfehler, durch den Programme Schadcode in präparierten DLL-Dateien ausführen. Dabei öffnet der Anwender etwa ein Bild auf einem Netzwerklaufwerk. Die installierte Anwendung lädt dann unter Umständen auch Bibliotheken, in denen sich Schadcode befinden könnte, aus diesem Netzwerkverzeichnis nach.
Nachdem der Sicherheitsdienstleister Acros das problematische Verhalten in iTunes entdeckt hatte, erklärte der Metasploit-Entwickler HD Moore dass rund 40 weitere Anwendungen davon betroffen seien. Thierry Zoller zufolge ist unter anderem Photoshop anfällig. In iTunes hat Apple das Problem bereits behoben; welche anderen Anwendungen noch anfällig sind, ist derzeit nicht bekannt.
Zum Schutz empfiehlt Microsoft derzeit, den WebDAV-Dienst zu beenden und ausgehende SMB-Verbindungen durch die Firewall zu blockieren. Darüber hinaus stellen sie ein Tool bereit, mit dem man das Suchverhalten beim Laden von Bibliotheken durch Registry-Einträge beeinflussen kann. In einem Blog-Eintrag erklären Microsofts-Sicherheitspezialisten die Bedeutung der einzelnen Werte.
Ganz neu ist dieses Szenario nicht: Die NSA hat bereits vor 12 Jahren in ihren "Windows NT Security Guidelines" vor "DLL Spoofing" gewarnt. Und Microsoft erklärt zwar Entwicklern bereits seit geraumer Zeit, wie man Bibliotheken richtig lädt. Doch offenbar halten sich viele Applikationen nicht an diese Richtlinien. Ob es jemals einen Patch geben wird, der das Problem aus der Welt schafft, ist zumindest zweifelhaft. Immerhin erklärt Microsoft, dass es nicht möglich sei, das Problem direkt in Windows zu beheben, da dann dokumentierte Funktionen nicht mehr wie erwartet funktionieren würden.
(rei)
English Version: Microsoft warns of DLL vulnerability in applications
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1064330
Themen-Forum Desktopsicherheit
Mehr zum Thema Update Sicherheitslücke Microsoft
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
