Anzeige

Binary Planting

Microsofts Workaround lässt einzelne Anwendungen ausfallen

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Anzeige

Microsofts einziger Workaround für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnisses einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel waren mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.

Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.

Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht. Zahlreiche andere Programme bleiben weiterhin anfällig.

Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat. Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.

Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be. Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs, die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.


eye home zur Startseite
gizmore 07. Sep 2010

Ich bin (immer noch) der Meinung das Redmond das leicht Patchen könnte. Wenn CWD...

düdelüüüü 30. Aug 2010

Schlimmer geht immer...trotzdem wen meinst du damit denn? Shortnews?

hui 30. Aug 2010

Nachtrag: Nach intensiver Recherche kann ich zu meiner Schadne nur erkennen, dass du mir...

dergenervte 30. Aug 2010

Vielleicht liest Du mal hier. Für Dich sollte das reichen. http://forum.golem.de...

Bouncy 30. Aug 2010

gar nicht! plöder fantroll :D

Kommentieren



Anzeige

  1. Entwicklungsingenieur (m/w) Software
    MAHLE International GmbH, Stuttgart
  2. Softwaretester (m/w) für die Qualitätssicherung
    SCHEMA Consulting GmbH, Nürnberg
  3. Gruppenleiter/in Algorithmenentwicklung Automated Driving
    Robert Bosch GmbH, Abstatt
  4. System Software Function Integrator (m/w)
    Continental AG, Frankfurt

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: The Jungle Book 3D+ 2D [3D Blu-ray]
    27,99€ (Vorbesteller-Preisgarantie)
  2. NEU: Mad Max: Fury Road (4K Ultra HD) [Blu-ray]
    28,00€
  3. NEU: Der Hobbit: Die Schlacht der fünf Heere [3D Blu-ray]
    9,99€

Weitere Angebote


Folgen Sie uns
       


  1. Uncharted Fortune Hunter

    Schatzsuche für den Multiplayermodus

  2. Schwere Verluste

    Gopro fällt hart

  3. 100 MBit/s

    EU könnte exklusives Telekom-Vectoring vertieft prüfen

  4. Star Trek Online

    Abenteuer mit der alten Enterprise

  5. Startups

    Siemens hat in 80er Jahren Idee für VoIP abgelehnt

  6. Microsoft

    Windows 10 läuft auf 300 Millionen Geräten

  7. Angry Birds Action im Test

    Wütende Vögel auf dem Flippertisch

  8. Ersatz für MSDN und Technet

    Neue Microsoft-Dokumentation ist Open Source

  9. Mitmachprojekt

    Unsere Leser messen bereits in über 100 Städten

  10. Steuern

    Bürgermeister von Cupertino kritisiert die Macht von Apple



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Netzpolitik: Edward Snowden ist genervt
Netzpolitik
Edward Snowden ist genervt
  1. Snowden Natural Born Knüller
  2. NSA-Affäre BND-Chef Schindler muss offenbar gehen
  3. Panama-Papers 2,6 TByte Daten zu dubiosen Offshore-Firmen

Cybertruppe: Die Bundeswehr sucht händeringend Nerds
Cybertruppe
Die Bundeswehr sucht händeringend Nerds
  1. Mit Raketenantrieb Magnetschwebeschlitten stellt Geschwindigkeitsrekord auf
  2. Sweep US-Startup Scanse entwickelt günstigen Lidar-Sensor
  3. Sensoren Künstliche Haut besteht aus Papier

  1. Re: Geld ist nicht alles

    User_x | 17:00

  2. Re: Die Filmindustrie will es nicht verstehen.

    neocron | 17:00

  3. Re: SD-Karte

    Dwalinn | 16:59

  4. Re: Extrawurst Deutschland.

    tingelchen | 16:55

  5. Ging anderen auch so

    schap23 | 16:55


  1. 16:52

  2. 16:20

  3. 16:03

  4. 16:01

  5. 14:25

  6. 14:02

  7. 14:00

  8. 13:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel