Bezpečnostní aktualizace od Microsoftu: březen 2011
Onen „Defect by design“ je zneužití zranitelnosti při nezabezpečeném načítání knihoven, o čemž Microsoft píše už od loňského srpna v Security Advisory (informační zpravodaj zabezpečení) 2269637. Od té doby tuto zranitelnost řešilo včetně těch dnešních celkem 11 Security Bulletinů.
Proč tolik? Protože jde o zranitelnost na úrovni OS neopravitelnou (kromě toho, že to je díra, je to hlavně vlastnost celé architektury Windows, takže se rozprostírá přes celé spektrum podporovaných operačních systémů a řada aplikací by opravením této díry přestala fungovat). Je tedy potřeba záplatovat jednotlivé aplikace. Důvod najdete v citaci zmíněného informačního zpravodaje zabezpečení:
Příčinou tohoto problému jsou konkrétní nezabezpečené postupy programování, které umožňují tzv. „binární výsadbu“ nebo „útoky předběžného načítání knihovny DLL“. Tyto postupy by mohly útočníkovi umožnit vzdálené spuštění libovolného kódu v kontextu uživatele, který má spuštěnou ohroženou aplikaci, když otevře soubor z nedůvěryhodného umístění.
Příčinou tohoto problému je, že aplikace při načítání externí knihovny předávají nedostatečně kvalifikovanou cestu. Společnost Microsoft vydala pokyny pro vývojáře v článku na webu služby MSDN nazvaném Dynamic-Link Library Security (Zabezpečení knihovny DLL), který uvádí postup správného použití dostupných rozhraní API, aby se této třídě chyby zabezpečení zabránilo. Společnost Microsoft se také aktivně spojuje s dodavateli třetích stran prostřednictvím programu výzkumu chyb zabezpečení, aby je informovala o možných zástupných řešeních, která jsou v operačním systému k dispozici. Společnost Microsoft rovněž aktivně zjišťuje, které z jejích vlastních aplikací mohou být ohroženy.
Kromě toho vydává nástroj (KB2264107), který správcům systému umožní zmírnit riziko tohoto nového vektoru útoku pozměněním chování při načítání knihovny v celém systému nebo pro konkrétní aplikace. V tomto informačním zpravodaji jsou popsány funkce tohoto nástroje a další informace, jejichž pomocí mohou zákazníci pomoci chránit svůj systém.