Samme type sårbarhet rammer mengder av programvare

Oracles Java er langt fra alene. Alt fra Chrome til iTunes er berørt.

Åpen hengelås. Sårbarhet. Sikkerhetshull.
Åpen hengelås. Sårbarhet. Sikkerhetshull. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald BrombachJournalist
9. feb. 2016 - 08:52

Som digi.no skrev i går, kom Oracle før helgen med en oppdatering som fjerner en alvorlig sårbarhet i installasjonsprogrammet til Java for Windows. Nå viser det seg Java bare er én av mange programvarer som er berørt av den aktuelle typen sårbarhet. Dette skriver Softpedia.

DLL-filer

Sårbarheten er av en type som kalles for DLL-sideloading eller DLL-kapring. Det handler om at en del programvare ser etter det samme DLL-biblioteket i flere ulike mapper på disken under oppstarten. Ondsinnede kan utnytte dette ved å legge en modifisert DLL-fil en slik mappe og få den sårbare programvaren til å laste den modifiserte DLL-filen i stedet for originalen.

I noen tilfeller lastes også helt andre DLL-filer, så lenge de ligger i riktig mappe. I en del tilfeller kan dette være brukerens nedlastingsmappe, som gjerne er den mappen hvor installasjonsprogramvare kjøres fra. Det holder derfor at en bruker lokkes til å laste ned en slik ondsinnet DLL-fil.

En fordel med dette, sett fra angriperens ståsted, er at det vanskelig for sikkerhetsprogramvare å kjenne igjen skadevaren i minnet, siden den kjøres som en del av en i utgangspunktet godartet programvare.

Mange produkter er berørt

Den tyske sikkerhetsforskeren Stefan Kanthak ser ut til å ha brukt store deler av høsten og vinteren på lete etter denne typen sårbarheter i installasjonsprogramvaren til mye vanlig Windows-programvare.

Han har funnet mange tilfeller, men det er vanskelig å finne noen komplett liste, siden Kanthak har spredt rapportene litt ujevnt på i alle fall tre ulike nettsteder.

Softpedia nevner Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt og Apple iTunes, i tillegg til sikkerhetsprogramvare og leverandører som ZoneAlarm, Emsisoft Anti-Malware, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, Rapid7, Kaspersky og F-Secure.

En del av leverandørene, som Oracle, skal allerede ha kommet med oppdateringer som fjerner sårbarheten. Sårbarheten skal ha vært årsaken til at Rapid7 trakk tilbake selskapets ScanNow-produkt i desember.

Andre skal ha vært mer avvisende.

Råd

Det generelle rådet for å unngå å bli berørt, er å la være å laste ned separate DLL-filer, å slette alle DLL-filer som måtte finnes i nedlastingsmappen og generelt også å slette installasjonsprogramvare med en gang man har gjort seg ferdig med den. Last i stedet ned den aller nyeste versjonen dersom programvaren må installeres på nytt.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra