WindowsのDLLにセキュリティ問題、相当数のソフトに影響 - ITmedia News(情報元のブックマーク数)
完全に周回遅れですが、WindowsのDLLにセキュリティの問題とのことでセキュリティアドバイザリまで出ています。
Windows向けのアプリケーションにかかわるセキュリティ問題の存在が明らかになった。SANS Internet Storm Centerが8月23日付で伝えたところでは、この問題はスロベニアのセキュリティ企業や脆弱性検証ツールMetasploitの創設者、HD・ムーア氏などの研究者が報告しており、影響は相当数のアプリケーションに及ぶとされる。
WindowsのDLLにセキュリティ問題、相当数のソフトに影響 - ITmedia NEWS
問題は、Windowsアプリケーションの構成部品であるDLL(Dynamic Link Libraries)というプログラム利用の仕組みに存在するという。アプリケーションは複数のDLLを組み合わせて構成され、システム上でDLLの機能をほかのアプリケーションと共有している。
しかし、システム上に存在しないDLLをアプリケーションがロードしようとする際に問題が生じる。この問題を突けば、悪意のあるDLLを使って攻撃を仕掛けることが可能になるという。
この問題は、特にWindowsのネットワーク共有を通じて悪用される可能性が高いとSANSは指摘する。当面の対策として、企業などのネットワークで共有許可を確実に監視し、無許可のユーザーが本来置いてはいけない場所にファイルを置くことを防止するよう勧告している。
アドバイザリまで出ています。
マイクロソフトは、アプリケーションが外部ライブラリをロードする際の脆弱性に対する、新たなリモートの攻撃方法が確認されたとの調査結果を受け、2010/08/24 に セキュリティ アドバイザリ 2269637を公開しました。これは、他のマイクロソフト セキュリティ アドバイザリとは性質が異なり、マイクロソフト製品の特定の脆弱性について説明するものではありません。「DLL のプリロード」または「バイナリの植え付け (binary planting)」攻撃 として知られる、既知の脆弱性に対する新たなリモートの攻撃方法の概要とその予防策をお伝えしています。
新たなリモートの攻撃手法に関するアドバイザリ 2269637 を公開 – 日本のセキュリティチーム
DLLの読み込みにおける脆弱性で影響でかいことをIPAとJPCERT/CCが警告
情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は26日、WindowsプログラムのDLL読み込みにおける脆弱性に関する情報を公開した。
WindowsプログラムのDLL読み込みに脆弱性……NTTデータ・セキュリティが詳細レポで再現 | RBB TODAY
「マイクロソフト セキュリティ アドバイザリ(2269637)」として25日に公表されたもので、JVN(Japan Vulnerability Notes)において、脆弱性関連情報とそれに対する対策、製品開発者の対応状況を公開した。
この脆弱性は、DLL読み込みを行うWindowsプログラム全般が影響を受ける可能性があるとのこと。これにより、攻撃者は細工したDLLをUSBドライブやネットワークドライブ上に置くことで攻撃を行うことができる。現在、根本的な対応策はないとのことでJVNでは、影響を受けるプログラムを使用しているユーザーは、各ベンダが提供するアップデートが存在する場合は適用するよう呼びかけている。
関連記事
- DLL hijacking vulnerabilities
- WindowsのDLLにセキュリティ問題、相当数のソフトに影響 - ITmedia エンタープライズ
- US-CERT Current Activity
- Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution
- US-CERT Current Activity
- Sunbelt Blog: Microsoft releases work-around tool for DLL loading vulnerability
- エフセキュアブログ : DLLハイジャックとライブラリの読み込みが難しい理由
- DLL pre-loading attack vector addressed by Microsoft | SophosLabs blog
- New DLL Vulnerability Found; Firefox and PowerPoint Among Vulnerable | Malware Blog | Trend Micro
- An update on the DLL-preloading remote attack vector - Security Research & Defense - Site Home - TechNet Blogs