Google mener at det er lite hensiktsmessig å holde tilbake informasjon om alvorlige sårbarheter som allerede er under angrep. Tvert imot mener selskapet at dette reduserer brukernes mulighet til å beskytte seg mot angrepene. (Foto: PantherMedia/Sergey Nivens)

DLL-sideloading

Samme type sårbarhet rammer mengder av programvare

Oracles Java er langt fra alene. Alt fra Chrome til iTunes er berørt.

Som digi.no skrev i går, kom Oracle før helgen med en oppdatering som fjerner en alvorlig sårbarhet i installasjonsprogrammet til Java for Windows. Nå viser det seg Java bare er én av mange programvarer som er berørt av den aktuelle typen sårbarhet. Dette skriver Softpedia.

DLL-filer

Sårbarheten er av en type som kalles for DLL-sideloading eller DLL-kapring. Det handler om at en del programvare ser etter det samme DLL-biblioteket i flere ulike mapper på disken under oppstarten. Ondsinnede kan utnytte dette ved å legge en modifisert DLL-fil en slik mappe og få den sårbare programvaren til å laste den modifiserte DLL-filen i stedet for originalen.

I noen tilfeller lastes også helt andre DLL-filer, så lenge de ligger i riktig mappe. I en del tilfeller kan dette være brukerens nedlastingsmappe, som gjerne er den mappen hvor installasjonsprogramvare kjøres fra. Det holder derfor at en bruker lokkes til å laste ned en slik ondsinnet DLL-fil.

En fordel med dette, sett fra angriperens ståsted, er at det vanskelig for sikkerhetsprogramvare å kjenne igjen skadevaren i minnet, siden den kjøres som en del av en i utgangspunktet godartet programvare.

Mange produkter er berørt

Den tyske sikkerhetsforskeren Stefan Kanthak ser ut til å ha brukt store deler av høsten og vinteren på lete etter denne typen sårbarheter i installasjonsprogramvaren til mye vanlig Windows-programvare.

Han har funnet mange tilfeller, men det er vanskelig å finne noen komplett liste, siden Kanthak har spredt rapportene litt ujevnt på i alle fall tre ulike nettsteder.

Softpedia nevner Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt og Apple iTunes, i tillegg til sikkerhetsprogramvare og leverandører som ZoneAlarm, Emsisoft Anti-Malware, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, Rapid7, Kaspersky og F-Secure.

En del av leverandørene, som Oracle, skal allerede ha kommet med oppdateringer som fjerner sårbarheten. Sårbarheten skal ha vært årsaken til at Rapid7 trakk tilbake selskapets ScanNow-produkt i desember.

Andre skal ha vært mer avvisende.

Råd

Det generelle rådet for å unngå å bli berørt, er å la være å laste ned separate DLL-filer, å slette alle DLL-filer som måtte finnes i nedlastingsmappen og generelt også å slette installasjonsprogramvare med en gang man har gjort seg ferdig med den. Last i stedet ned den aller nyeste versjonen dersom programvaren må installeres på nytt.

Til toppen