Een omvangrijk beveiligingslek dat honderden Windows applicaties treft, is al maanden bekend bij Microsoft. Vorige week werd er eerst gewaarschuwd voor een nieuw lek in zo'n veertig applicaties, waaronder de Windows shell. Een aanvaller zou een legitieme applicaties kwaadaardige bestanden kunnen laden. Het bedrijf dat beweert het lek gevonden te hebben, noemt het "remote binary planting". Een dag later werd bekend dat het probleem in bijna alle Windows applicaties zit. Het is echter de vraag of het om een geheel nieuwe kwetsbaarheid gaat.
Volgens beveiligingsonderzoeker H.D. Moore is het probleem mogelijk al tien jaar geleden gerapporteerd. Hij wijst naar deze melding, die een 'Microsoft Windows DLL Search Path Weakness' beschrijft.
Rapport
Dit weekend liet een andere onderzoeker weten dat hij al maanden geleden de kwetsbaarheid aan Microsoft heeft gerapporteerd. In januari publiceerden Taeho Kwon en Zhendong Su van de Universiteit van Californië het rapport "Automatic Detection of Vulnerable Dynamic Component Loadings." Het tweetal omschrijft een manier voor het laden van 1.700 onveilige DLL-bestanden in 28 populaire programma's.
Microsoft
"Microsoft heeft een Microsoft Security Response Center (MSRC) zaak over onze gerapporteerde problemen geopend en werkt met ons samen om de vereiste patches te ontwikkelen", zo is in het rapport te lezen. In totaal vonden de onderzoekers 19 lekken die eenvoudig op afstand zijn te misbruiken voor het uitvoeren van willekeurige code. Het gaat onder andere om Firefox, Winamp, Office en andere bekende programma's. In veel gevallen zijn de geteste versies al geruime tijd door een nieuwere versie vervangen. Het is echter onbekend of hier ook de "resolution failure" en "resolution hijacking" problemen bij behoren. Het rapport van Kwon en Su werd tijdens het 'International Symposium on Software Testing and Analysis' (ISSTA) in juli gepresenteerd.
"Ons onderzoek toont dat het onveilig laden van DLL-bestanden veel voorkomt en tot ernstige dreigingen kan leiden. Onze tool detecteerde meer dan 1.700 onveilige DLL loadings in populaire software van de meeste leveranciers. Het ontdekte ook potentiële remote code execution aanvallen die het onveilig laden van DLL's misbruiken", aldus de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.