Anzeige

Binary Planting

Microsofts Workaround lässt einzelne Anwendungen ausfallen

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Anzeige

Microsofts einziger Workaround für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnisses einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel waren mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.

Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.

Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht. Zahlreiche andere Programme bleiben weiterhin anfällig.

Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat. Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.

Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be. Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs, die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.


gizmore 07. Sep 2010

Ich bin (immer noch) der Meinung das Redmond das leicht Patchen könnte. Wenn CWD...

düdelüüüü 30. Aug 2010

Schlimmer geht immer...trotzdem wen meinst du damit denn? Shortnews?

hui 30. Aug 2010

Nachtrag: Nach intensiver Recherche kann ich zu meiner Schadne nur erkennen, dass du mir...

dergenervte 30. Aug 2010

Vielleicht liest Du mal hier. Für Dich sollte das reichen. http://forum.golem.de...

Bouncy 30. Aug 2010

gar nicht! plöder fantroll :D

Kommentieren



Anzeige

  1. SAP Anwendungsentwickler (m/w) HCM
    Dürr IT Service GmbH, Bietigheim-Bissingen
  2. Linux-Administrator (m/w) mit Schwerpunkt Automation
    BG-Phoenics GmbH, München
  3. Applikationsingenieur/in PTC Windchill PDMLink
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Algorithmenentwickler/in für Spurerkennung
    Robert Bosch GmbH, Abstatt

Detailsuche


Top-Angebote
  1. NEU: San Andreas [3D Blu-ray]
    12,90€
  2. NEU: GOG-EA-Sale
    (u. a. Dungeon Keeper 2 für 2,19€, Simcity 4 Deluxe 7,39€, Theme Park 2,19€ oder alle 41...
  3. NEU: Homeworld Remastered Collection - [PC]
    9,99€

Weitere Angebote


Folgen Sie uns
       


  1. Daybreak Game Company

    Zombiespiel H1Z1 wird aufgeteilt

  2. Twitter

    Neue Sortierung der Timeline kommt

  3. Error 53

    Unautorisierte Ersatzteile sperren iPhone

  4. Escape Dynamics

    Firma für mikrowellenbetriebene Raumschiffe ist bankrott

  5. Deutsche Bahn

    Wlan für alle ICE-Fahrgäste möglicherweise erst 2017

  6. Die Woche im Video

    Raider heißt jetzt Twix ...

  7. Alpenföhn

    Der Olymp soll 340 Watt an Leistung abführen

  8. Eurocom X9E

    Monster-Notebook nutzt Diamant- und Flüssigmetallpaste

  9. Willkürliche Festsetzung

    Schwedische Regierung spottet über Assange

  10. IoT statt Smartphones

    Mozilla gibt Firefox OS schneller auf als erwartet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Künstliche Intelligenz: Alpha Go spielt wie ein Japaner
Künstliche Intelligenz
Alpha Go spielt wie ein Japaner
  1. Nachruf KI-Pionier Marvin Minsky mit 88 Jahren gestorben
  2. CNTK Microsoft gibt Deep-Learning-Toolkit frei
  3. OpenAI Elon Musk unterstützt Forschung an gemeinnütziger KI

Tails 2.0 angeschaut: Die Linux-Distribution zum sicheren Surfen neu aufgelegt
Tails 2.0 angeschaut
Die Linux-Distribution zum sicheren Surfen neu aufgelegt

Asus Strix Soar im Test: Wenn die Soundkarte vom Pixelbeschleuniger bespielt wird
Asus Strix Soar im Test
Wenn die Soundkarte vom Pixelbeschleuniger bespielt wird
  1. Geforce GT 710 Nvidias Einsteigerkarte soll APUs überflüssig machen
  2. Theremin Geistermusik mit dem Arduino
  3. Musikdienst Sonos soll ab Mitte Dezember Apple Music streamen können

  1. Re: "Wenn es auf Reisen ausfällt..."

    silberfieber | 19:37

  2. Re: Besonders ARD und ZDF sollten mehr Geld erhalten

    matok | 19:34

  3. Re: Zwei Sender, der Rest optional für die, die...

    matok | 19:32

  4. Re: Was für ein Wärmeleitpasten-Voodoo...

    plutoniumsulfat | 19:21

  5. Re: Kann man auch ne Wärmflasche anschließen?

    Braineh | 19:19


  1. 14:45

  2. 13:25

  3. 12:43

  4. 11:52

  5. 11:28

  6. 09:01

  7. 21:49

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel