Binary Planting

Fehlende DLLs vereinfachen Angriffe auf Anwendungen

Die Zahl der vom Binary Planting betroffenen Anwendungen wächst stetig und es tut sich ein grundsätzliches Problem auf: Viele Programme rufen DLLs auf, die gar nicht existieren. Dann hilft auch Microsofts SafeDLLSearch nicht.

Anzeige

In der Exploit-Datenbank tauchen immer mehr Windows-Anwendungen auf, die für das sogenannte Binary Planting anfällig sind. Mittlerweile sind es mehr als 50 Anwendungen. Allerdings ist bisher nur ein kleiner Teil der Exploits von den Machern der Exploit-DB bereits verifiziert worden. Zu den Neuzugängen gehören unter anderem Winamp, der Media Player Classic und der VLC Media Player - wichtige und vor allem weit verbreitete Multimediasoftware. Weitere bekannte Neulinge sind Google Earth, ein Nvidia-Treiber und Safari.

Sie alle leiden ersten Tests zufolge darunter, dass Windows fehlende DLLs auch im Arbeitsverzeichnis suchen lässt. Damit das nicht zu früh passiert, gibt es seit Windows XP SP1 den Modus SafeDLLSearch. Damit suchen Programme erst sehr spät im Arbeitsverzeichnis, in dem beispielsweise die zu öffnende Text- oder Musikdatei steckt. Mit global deaktivierter SafeDLLSearch wird konzeptbedingt nach dem Programmverzeichnis das Arbeitsverzeichnis nach fehlenden DLLs durchsucht, also weit vor den Systemverzeichnissen von Windows.

Programme rufen seltene DLLs auf

Nun stellt sich jedoch heraus, dass viele Anwendungen DLLs aufrufen, die mitunter gar nicht existieren, weil entsprechende Komponenten fehlen. Vielleicht sind es auch Altlasten, die die Entwickler schlicht vergessen haben. In so einem Falle hilft auch SafeDLLSearch nicht, beim Aufruf einer Datei wird trotzdem in genau diesem Verzeichnis nach der passenden DLL gesucht. Das vereinfacht Angriffe, insbesondere, wenn ein Verzeichnis von mehreren Personen benutzt wird, wie das bei Netzlaufwerken häufig der Fall ist. Die Angriffe werden aber nur im Kontext des Nutzers durchgeführt. Wer nur die Rechte eines Standardnutzers hat, kann eine Infektion nicht tief ins System einschleusen.

Hochproblematische Beispiele gibt es mittlerweile genug: Programme wie Thunderbird, Firefox oder Teamviewer suchen nach einer Bibliothek mit dem Namen dwmapi.dll (für Vista interessant), VLC sucht nach einer wintab32.dll (wichtig für Tablets) und der Media Player Classic sucht eine iacenc.dll von Intel.

  1. 1
  2. 2
Kommentarübersicht
Idee zum total Ausschluß von Schadsoftware
j.ody 10. Aug 2011

Das Problem der Schadsoftware liegt doch eigentlich woanders. Es ist unter Windows doch...

Re: Wie solls besser gemacht werden?
asdfasdf2 28. Aug 2010

Portable Apps, auf einem USB-Stick ?

Re: Selber Schuld wenn man Windows hernimmt ...
w wie windows 27. Aug 2010

Sagt wer? Quelle bitte! :) Aha, du glaubst also das ein Otto-Normal User AHnung hat, wo...

Re: Wirklich so gefährlich?
Lala Satalin... 27. Aug 2010

Und wie soll die DLL nun in das Verzeichnis kommen? Das kann ja nur durch Net-Shares...

Re: Ungebrauchte DLLs als ungültig erklären
Lala Satalin... 26. Aug 2010

Und was ist, wenn du den Status ändern willst, weil du beispielsweise aufeinmal ein...

Kommentieren

Trackbacks

Witis Blog / 27. Aug 2010

DLL-Lücke in vielen Windows-Programmen

Anzeige
Stellenmarkt
  1. Produktmanager (m/w) Neue Dienste
    M-net Telekommunikations GmbH, München
  2. Systemadministrator/IT-Spezi- alist (m/w)
    Siemens AG, Nürnberg
  3. Betriebswirt / Wirtschaftsinformatiker (m/w)
    Schleupen AG, Ettlingen
  4. IT Software Engineer (m/w)
    Wacker Chemie AG, München

 

Detailsuche

Folgen Sie uns
       
Videos
Joseph Weizenbaum - Zwanghafte Programmierer Joseph Weizenbaum - Zwanghafte Programmierer
Meistgelesen
  1. Klage gegen Samsung

    Apple will Verkauf des Galaxy Nexus verhindern
  2. Acta-Demos

    Zehntausende gegen "bekACTA Scheiß" in München und Berlin
  3. Lumia-Smartphones

    Nokias Offensive auch in Deutschland gescheitert
  4. Epic Games

    Unreal Engine 4 soll in diesem Jahr "die Leute schockieren"
  5. Browser

    Firefox 10.0.1 bringt Fehlerkorrekturen
Meistkommentiert
  1. IMHO: Windows 8 - Microsofts Befreiungsschlag

    Kommentare: 214 | letzter Beitrag 12.02. 20:12

  2. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 153 | letzter Beitrag 08:48 Uhr

  3. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 106 | letzter Beitrag 08:23 Uhr

  4. Acta: Deutschland setzt Unterzeichnung von Acta aus

    Kommentare: 100 | letzter Beitrag 12.02. 10:35

  5. Epic Games: Unreal Engine 4 soll in diesem Jahr "die Leute schockieren"

    Kommentare: 89 | letzter Beitrag 07:25 Uhr

Mehr

Ticker
  1. Gerüchte

    Apple will alle Notebooks dünner machen

  2. Tilt-Shift-Effekt

    Generator für Spielzeuglandschaften

  3. Premiumnutzer

    Nutzern von Kino.to drohen Strafverfahren

  4. Evilshadow

    Microsoft Store in Indien gehackt

  5. Browser

    Firefox 10.0.1 bringt Fehlerkorrekturen

  6. Lumia-Smartphones

    Nokias Offensive auch in Deutschland gescheitert

  7. Klage gegen Samsung

    Apple will Verkauf des Galaxy Nexus verhindern

  8. Nach Hackerangriff

    Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down

  9. Acta-Demos

    Zehntausende gegen "bekACTA Scheiß" in München und Berlin

  10. Nasa

    Mögliche Etatkürzungen gefährden Mars-Erforschung

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

iPad 3
Apple-Tablet: iPad 3 wird angeblich in der ersten Märzwoche vorgestellt
Apple-Tablet
iPad 3 wird angeblich in der ersten Märzwoche vorgestellt

Nicht im Februar, aber Anfang März wird Apple sein nächstes iPad vorstellen, meldet All Things Digital, das Blog des Wall Street Journal.

  1. QXGA-Display iPad 3 mit 2.048 x 1.536 Pixeln?
  2. Gerüchte iPad 3 mit LTE, Quad-Core-CPU und Retina-Display
  3. Apple Künftige iPads vermutlich mit IGZO-LCDs
Sound-Hardware
Onkyo: Aktive Lautsprecher mit WLAN und DLNA
Onkyo
Aktive Lautsprecher mit WLAN und DLNA

Onkyo hat mit dem GX-W100HV ein Stereolautsprecherpaar vorgestellt, das mit einem WLAN-Modul und DLNA-Unterstützung ausgerüstet ist und sich so für die Funkübertragung von Musik aus Tablets, PCs und Smartphones eignet.

  1. Soundblaster Recon3D Creatives neue PCIe-Soundkarten werden ausgeliefert
Office 15
Windows 8 auf ARM: Microsoft zeigt Office 15
Windows 8 auf ARM
Microsoft zeigt Office 15

Wenige Details, aber erste Bilder von Office 15 hat Microsoft im Rahmen seiner Vorstellung von Windows on ARM (WOA) gezeigt. Das neue Office-Paket erhält eine neue Oberfläche, die auf Touchbedienung optimiert ist.

  1. WOA Keine Desktopanwendungen für Windows 8 auf ARM
  2. Stellenanzeige HTML5 und Javascript in Microsoft Office 15
Forumsbeiträge »
  1. Evilshadow Microsoft Store in Indien gehackt

    Re: passwörter

    benji83 | 09:02

  2. Steam-Hack Einbrecher könnten Kreditkartendaten kopiert haben

    PCI-DSS

    derdiedas | 09:01

  3. Test The Darkness 2 Standardshooter mit spannender Story

    Re: Deutschland kriegt also mal wieder die Nanny...

    kendon | 08:52

  4. Lumia-Smartphones Nokias Offensive auch in Deutschland gescheitert

    Re: 41% Marktanteil.

    Mario Hana | 08:48

  5. Lumia-Smartphones Nokias Offensive auch in Deutschland gescheitert

    Re: Ich bin mir sicher es liegt an Metro-UI!

    Mario Hana | 08:46

Ticker »
  1. Gerüchte Apple will alle Notebooks dünner machen

    09:08

  2. Tilt-Shift-Effekt Generator für Spielzeuglandschaften

    09:03

  3. Premiumnutzer Nutzern von Kino.to drohen Strafverfahren

    08:55

  4. Evilshadow Microsoft Store in Indien gehackt

    08:13

  5. Browser Firefox 10.0.1 bringt Fehlerkorrekturen

    14:09

  6. Lumia-Smartphones Nokias Offensive auch in Deutschland gescheitert

    13:59

  7. Klage gegen Samsung Apple will Verkauf des Galaxy Nexus verhindern

    13:52

  8. Nach Hackerangriff Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down

    21:30

Zum Artikel