Microsoft bekrefter DLL-dilemma

Også selskapets egen programvare kan være berørt.

Microsoft har utgitt en sikkerhetsveiledning i forbindelse med en form for sårbarhet som ser ut til å ramme store mengder Windows-programvare. Problemet er knyttet til hvor programvaren leter etter bibliotekfiler av typen DLL.

Dersom ondsinnede greier å lokke en bruker til å laste ned og lagre en modifisert DLL-fil i en mappe med dokumenter eller multimediefiler, vil den modifiserte DLL-filen kunne bli kjørt av programvare dersom den har samme navn som en DLL-fil programmet bruker og dersom programvaren ikke selv oppgir nøyaktig hvilke mapper DLL-filer skal kunne lastes fra. Dette vil skje dersom brukeren dobbeltklikker på et dokument i den samme mappen som den modifiserte DLL-filen er lagret.

Normalt vil ikke Windows-applikasjoner lete i arbeidsmappen først, men dette avhenger av om SafeDllSearchMode er aktivert i registeret eller ikke. SafeDllSearchMode ble innført med Windows 2000 SP4 og er aktivert som standard i Windows XP SP1 og nyere.

Dette skjedde trolig etter at problemet ble påpekt av Georgi Guninski allerede i 2000.

Når SafeDllSearchMode er aktivert, vil søk etter DLL-filer først gå innom mappen hvor applikasjonen kjøres fra, samt flere ulike systemmapper, før det søkes i arbeidsmappen. Det er kun mapper som er oppgitt i PATH-verdien som det søkes i i etterkant.

Problemet oppstår derfor først og fremst når DLL-filen er av det slaget som ikke er obligatorisk for at programvare skal kjøre, for eksempel at den tilbyr tilleggsfunksjonalitet. Dersom filen ikke blir funnet, vil programvaren kjøre på vanlig måte.

Microsoft har ennå ikke sagt noe offentlig om hvorvidt dette problemet kan eller vil løses i Windows. En endring kan føre til at mye programvare slutter å fungere. Så langt har selskapet gitt ut en veiledning til programvareutviklere om hvordan man kan bruke tilgjengelige programmeringsgrensesnitt for å unngå denne typen sårbarheter. I tillegg holder selskapet på med å granske dets egne applikasjoner for å se om noen av disse er berørt av problemet.

Foreløpig er det ingen som har utgitt noen oversikt over hvilke applikasjoner som er berørt av problemet, bortsett fra Apples iTunes og VMware Tools som allerede har fått feilfikser som løser dette.

Taeho Kwon, en doktorgradstudent ved University of California, Davis, skal allerede i februar ha presentert problemet for Microsoft, selv om problemet først i forrige uke ble offentlig kjent – da via andre kilder.

Ifølge Computerworld.com forteller Kwon at alle de større applikasjonene i Microsoft Office 2007-suite er sårbare. Det samme gjelder alle de fem vanligste nettleserne, PDF-lesere som Adobe Reader og Foxit, lynmeldingsklienter som Windows Live Messenger, Skype og Yahoo Messenger, i tillegg til multimediespillere som Apple QuickTime, WinAmp og Microsofts Windows Media Player. Dette ser likevel ut til bare å være toppen av isfjellet, da andre forskere har funnet tilsvarende svakheter i mer enn 200 ulike applikasjoner.

    Les også:

Til toppen