Windows DLL 漏洞影響數百種應用程式

Windows DLL 漏洞影響數百種應用程式
                                                                                                                                                                                                                                         資安研究員24日表示，Windows作業系統處理DLL(動態連結程式庫)與相關檔案的方式有安全漏洞，可能影響數百種應用程式，而網路上已有人利用此漏洞發動惡意攻擊。


微軟公司周一發布安全性摘要報告指出，已發現一種稱為「DLL preloading」或「binary planting」的攻擊手法，雖然手法並不新，但卻是一種新的遠端攻擊途徑(remote attack vector)。惡意程式碼可藉此植入共享網路(network share)，而不只是植入一台本機系統(local system)，這讓駭客更容易誘拐民眾點擊惡意網站連結或開啟含毒的文件，使系統遭到駭客攻擊。


資安公司Acros上周揭露這個問題，指出iTunes受到影響，而Rapid7技術長HD Moore本周提供更多的資訊，並釋出一種工具，可用來測試某種應用程式是否內含這個安全漏洞。


資安公司Offensive Security的創辦人Mati Aharoni說，目前為止，該公司管理的Exploit-db.com的exploit資料庫已接獲各界舉報眾多應用程式可能內含安全漏洞，包括Windows Live Mail、Windows Movie Maker、Microsoft PowerPoint 2010、Office 2007，以及非微軟軟體如Firefox 3.6.8、Foxit Reader、Wireshark和uTorrent等等。

另有使用者在Full Disclosure郵件論壇上發文指稱，Windows XP裡的Windows Address Book也有安全漏洞。


Aharoni說：「單是在今天，一天內上傳至Exploit-db的各種Windows應用軟體的exploits數量就打破紀錄...全都是與同一種安全漏洞有關。現在數目已達到數十種。」但他預測受影響應用程式的總數很快就會增加到數百種。


同時，研究員發現，網路上已有一些利用這個安全漏洞發動惡意攻擊的事例。  


Aharoni說：「這可說主要是Windows的問題，但要解決問題，你必須徹底改變Windows載入各種DLL檔的方式，這會變得極為棘手，無疑會破壞許多的應用程式。」


微軟已釋出一項工具，讓系統管理員降低系統遭到攻擊的風險。


微軟公關回應經理Jerry Bryant說：「目前本公司正在分析我們自己的應用程式，以查明是否有任何應用程式受到這種新的遠端攻擊途徑影響。因此，我們會採取適當行動保護客戶，可能的措施包括發布安全通告和安全更新，以降低風險和解決問題。

微軟並建議客戶審視安全性摘要報告(2269637)，並落實文中建議的防範措施。微軟還說：「另一點值得注意的是，DLL planting需要使用者大量的配合，不會只因瀏覽網頁就遭到入侵。駭客必須說服使用者點擊一個連結，連向他們的SMB (Server Message Block)或WebDAV (Web-based Distributed Authoring and Versioning)共享資源，然後再唆使使用者從那裡開啟一個檔案，才會帶出額外的對話(dialogs)，提示使用者同意那個動作。」


Moore建議系統受影響的使用者「不要從陌生人那裡開啟連結或網路共享連結」。

http://www.zdnet.com.tw/news/sof ... 678,20147223,00.htm

x0