Binary Planting: Firefox, Opera, Powerpoint und viele mehr sind anfällig
Kurz nach der Veröffentlichung und Bestätigung des Sicherheitsproblems durch Microsoft haben sich zahlreiche Exploits und auch ein DLL-Testkit angefunden, die sich des Security Advisorys 2269637(öffnet im neuen Fenster) annehmen.
Unter den anfälligen Programmen finden sich in einer Exploit-Datenbank zahlreiche Prominente. Firefox, µTorrent, Powerpoint, Opera, Windows Movie Maker und Wireshark gehören dazu. Da dies alles Programme sind, die aktiv weiterentwickelt werden, ist wohl mit zahlreichen Patches zu rechnen. Doch das ist vermutlich nur der Anfang. Mit einem öffentlich verfügbaren Testkit haben es Suchende recht einfach, sie können anfällige Programme identifizieren und auch gleich einen Proof-of-Concept-Exploit erzeugen.
Dass es so viele bekannte Programme sind, lässt darauf schließen, dass ursprüngliche Schätzungen, die von 200 anfälligen Programmen sprachen, zu niedrig waren.
Während die einen auf der Suche nach anfälligen Programmen sind, gibt es Stimmen im Internet, die sich über die Nachlässigkeit der Programmierer aufregen. Microsoft, selbst Entwickler anfälliger Programme, weist in seiner Dokumentation deutlich darauf hin, wie DLLs zu behandeln sind(öffnet im neuen Fenster) . Es ist eigentlich ein sehr altes Problem, das aus Kompatibilitätsgründen weiterhin mitgeschleppt wird.
Windows-Design-Fehler und nachlässige Programmierer in Kombination
Es ist nicht ungewöhnlich, dass einige Windows-Entwickler kaum in der Dokumentation nachlesen, bevor sie anfangen, ihre Programme zu schreiben. Beispiele dafür gibt es zuhauf: Spiele, die Administratorrechte zum Starten brauchen , oder Software, die Daten ablegt, wo gerade Platz ist. Manchmal versucht Microsoft, solches Verhalten zu bekämpfen. Dazu zählt beispielsweise das Virtual-Store-Konzept, das seit Windows Vista zu den Abwehrmaßnahmen von Microsoft gehört, um Programmierer in die richtigen Verzeichnisse zu lenken. Doch es gibt auch Entwickler, die in Foren fragen, wie Virtual Store umgangen werden kann, damit ihre Programme noch kompatibel sind. Dass sich Entwickler über das DLL-Problem nicht informieren, hat allerdings ernsthafte Konsequenzen.
Dumme Entwickler?
Besonders drastisch formuliert es Geoffroy Couprie, einer der Entwickler des VLC-Media-Players in seinem Blog(öffnet im neuen Fenster) . Damit ein Programm anfällig wird, muss der SafeDLLSearchMode deaktiviert werden. Nur dann ist das Arbeitsverzeichnis, also beispielsweise das Verzeichnis, in dem sich ein Text befindet, auch für das Nachladen von DLLs effektiv nutzbar.
Couprie bezeichnet Entwickler, die die Sicherheit beim Suchen von DLLs abschalten, als dumm – oder sie arbeiteten noch auf Windows XP ohne Service Pack. Durch die Abschaltung werden DLLs zuerst im Verzeichnis der Anwendung gesucht, dann im Arbeitsverzeichnis und erst danach werden Systemverzeichnisse durchsucht, in denen sich häufig DLLs finden. Prompt wird eine Anwendung anfällig. Im Safe-Mode kommt es hingegen erst sehr spät zu einer Suche im Arbeitsverzeichnis. Die DLL müsste schon fehlen, damit sie durch eine Bibliothek mit Schadcode ersetzt werden könnte.
Einen Patch für das Problem wird es von Microsoft vermutlich nicht geben, da dokumentierte Funktionen anschließend nicht mehr funktionieren würden. Patches müssen die Entwickler von betroffener Software anbieten. Alternativ können Systemadministratoren mit einem neuen Registry-Eintrag(öffnet im neuen Fenster) ihre Systeme zum Teil schützen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.