Binary Planting

Microsofts Workaround lässt einzelne Anwendungen ausfallen

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Anzeige

Microsofts einziger Workaround für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnisses einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel waren mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.

Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.

Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht. Zahlreiche andere Programme bleiben weiterhin anfällig.

Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat. Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.

Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be. Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs, die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.


gizmore 07. Sep 2010

Ich bin (immer noch) der Meinung das Redmond das leicht Patchen könnte. Wenn CWD...

düdelüüüü 30. Aug 2010

Schlimmer geht immer...trotzdem wen meinst du damit denn? Shortnews?

hui 30. Aug 2010

Nachtrag: Nach intensiver Recherche kann ich zu meiner Schadne nur erkennen, dass du mir...

dergenervte 30. Aug 2010

Vielleicht liest Du mal hier. Für Dich sollte das reichen. http://forum.golem.de...

Bouncy 30. Aug 2010

gar nicht! plöder fantroll :D

Kommentieren



Anzeige

  1. Mitarbeiter (m/w) IT Service Desk First / Second Level
    Heide-Park Soltau GmbH, Soltau
  2. Webentwickler (m/w) IT
    Walbusch Walter Busch GmbH & Co. KG, Solingen
  3. IT Testmanager Customer Order Management (m/w)
    Media-Saturn Deutschland GmbH, Ingolstadt
  4. Mitarbeiter/-in für den Bereich mobile Endgeräte
    Deutsche Bundesbank, München

 

Detailsuche


Spiele-Angebote
  1. TOPSELLER: Sid Meier's Starships [PC Steam Code]
    8,74€
  2. Battlefield Hardline
    53,99€ USK 18
  3. TOPSELLER: Titanfall Origin-Code
    9,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Qualitätsprobleme

    Withings Activité Pop mit Glasbruch und Verletzungsgefahr

  2. Apple-Patent

    Smartphone-Kamera mit drei Sensoren

  3. Taxi-Dienst

    Uber plant neuen Dienst für Deutschland

  4. Pilotprojekt

    DHL-Paketkasten kommt in Mehrfamilienhäuser

  5. Technical Preview

    Windows 10 erscheint in Kürze für weitere Smartphones

  6. Freie Bürosoftware

    Libreoffice liegt im Rennen gegen Openoffice weit vorne

  7. Smartwatch

    Pebble sammelt über 20 Millionen US-Dollar

  8. Manfrotto

    Winziges LED-Dauerlicht für Filmer und Fotografen

  9. Test Woolfe

    Rotkäppchen schwingt die Axt

  10. Palinopsia Bug

    Das Gedächtnis der Grafikkarte auslesen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Mini-Business-Rechner im Test: Erweiterbar, sparsam und trotzdem schön klein
Mini-Business-Rechner im Test
Erweiterbar, sparsam und trotzdem schön klein
  1. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports
  2. Broadwell-Mini-PC Gigabytes Brix ist noch kompakter als Intels NUC
  3. Mouse Box Ein Mini-PC in der Maus

Bloodborne im Test: Das Festival der tausend Tode
Bloodborne im Test
Das Festival der tausend Tode
  1. Bloodborne Patch und PC-Petition
  2. Bloodborne angespielt Angsthase oder Nichtsnutz

Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  2. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück
  3. Urheberrecht Abmahnung wegen Nutzung des Facebook-Buttons bei Bild.de

  1. Re: Wozu? Da wohnt doch keiner... (etwas OT)

    Sharra | 01:40

  2. Re: Die BRD möchte, dass ich ein E-Auto kaufe?

    Tobias Claren | 01:32

  3. Re: Ohne Outlook-Ersatz wird das weder bei Libre...

    Wurzelgnom | 01:26

  4. Re: Wieso warten - Lösung für alle Anbieter gibt...

    MCCornholio | 01:10

  5. Re: Keiner, wie schon bisher bei vereinbarten...

    MCCornholio | 01:06


  1. 16:09

  2. 15:29

  3. 12:41

  4. 11:51

  5. 09:43

  6. 17:19

  7. 15:57

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel