Някога назад има съобщения за проблем със сигурността, който засяга около 40 различни приложения на Windows. Microsoft бързо реагира на подобни доклади за потенциални атаки с нулеви дни срещу подобни програми на Windows, като публикува актуализация или инструмент за блокиране на такива експлойти. Въпреки това Microsoft също изясни, че недостатъкът не е в Windows.
Инструмент за блокиране на атаки за отвличане на натоварване на DLL
Microsoft издаде съветник по сигурността (2269637), озаглавен "Зареждане на несигурна библиотека, което може да позволи дистанционно изпълнение на кода".
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft пусна също така Update, която ще блокира зареждането на DLL от отдалечени директории, като по този начин ще предотврати отвличането на DLL.
Тази актуализация въвежда нов ключ на системния регистър CWDIllegalInDllSearch, който позволява на потребителите да контролират алгоритъма на DLL за търсене. Алгоритъмът на търсещата пътека на DLL се използва от приложния програмен интерфейс (LoadLibrary) и от LoadLibraryEx API, когато DLL файловете се зареждат, без да се посочва напълно квалифицирана пътека.
Когато дадено приложение динамично зарежда DLL без да посочва напълно квалифициран път, Windows се опитва да открие този DLL, като търси чрез добре дефиниран набор от директории. Тези набори от директории са известни като пътека за търсене на DLL. Щом Windows открие DLL в директория, Windows зарежда този DLL. Ако Windows не намери DLL в някой от директорите в реда за търсене на DLL, Windows ще върне неизправност на операцията за зареждане на DLL.
Повече подробности и връзки за изтегляне на KB2264107.
