Bezpečnostní aktualizace od Microsoftu: březen 2011
Na březen si Microsoft nachystal zajímavý balíček záplat. Jsou pouze tři, přesto mají jednoho společného jmenovatele, jímž je vada, která by se dala nazvat „Defect by design“. Taková vada se celkem špatně opravuje, takže je dost pravděpodobné, že se se záplatami s tímto společným jmenovatelem ještě v budoucnu setkáme…
Onen „Defect by design“ je zneužití zranitelnosti při nezabezpečeném načítání knihoven, o čemž Microsoft píše už od loňského srpna v Security Advisory (informační zpravodaj zabezpečení) 2269637. Od té doby tuto zranitelnost řešilo včetně těch dnešních celkem 11 Security Bulletinů.
Proč tolik? Protože jde o zranitelnost na úrovni OS neopravitelnou (kromě toho, že to je díra, je to hlavně vlastnost celé architektury Windows, takže se rozprostírá přes celé spektrum podporovaných operačních systémů a řada aplikací by opravením této díry přestala fungovat). Je tedy potřeba záplatovat jednotlivé aplikace. Důvod najdete v citaci zmíněného informačního zpravodaje zabezpečení:
Příčinou tohoto problému jsou konkrétní nezabezpečené postupy programování, které umožňují tzv. „binární výsadbu“ nebo „útoky předběžného načítání knihovny DLL“. Tyto postupy by mohly útočníkovi umožnit vzdálené spuštění libovolného kódu v kontextu uživatele, který má spuštěnou ohroženou aplikaci, když otevře soubor z nedůvěryhodného umístění.
Příčinou tohoto problému je, že aplikace při načítání externí knihovny předávají nedostatečně kvalifikovanou cestu. Společnost Microsoft vydala pokyny pro vývojáře v článku na webu služby MSDN nazvaném Dynamic-Link Library Security (Zabezpečení knihovny DLL), který uvádí postup správného použití dostupných rozhraní API, aby se této třídě chyby zabezpečení zabránilo. Společnost Microsoft se také aktivně spojuje s dodavateli třetích stran prostřednictvím programu výzkumu chyb zabezpečení, aby je informovala o možných zástupných řešeních, která jsou v operačním systému k dispozici. Společnost Microsoft rovněž aktivně zjišťuje, které z jejích vlastních aplikací mohou být ohroženy.
Kromě toho vydává nástroj (KB2264107), který správcům systému umožní zmírnit riziko tohoto nového vektoru útoku pozměněním chování při načítání knihovny v celém systému nebo pro konkrétní aplikace. V tomto informačním zpravodaji jsou popsány funkce tohoto nástroje a další informace, jejichž pomocí mohou zákazníci pomoci chránit svůj systém.
