VLC Media Player en uTorrent patchen DLL-lek
Voor de Windows versies van de populaire programma's uTorrent en VLC Media Player, is een patch verschenen die het DLL-lek oplost. De kwetsbaarheid werd eerder deze week onthuld, ook al is die sinds 2000 bekend. Het probleem wordt veroorzaakt door de manier waarop Windows applicaties DLL-bestanden laden. Een groot aantal programma's zoekt ook in de geopende directory naar DLL-bestanden die voor het uitvoeren van de te openen bestanden nodig zijn. Een aanvaller zou zodoende kwaadaardige DLL-bestanden door het programma kunnen laten uitvoeren.
Om dit te voorkomen moet het pad worden opgegeven waar de DLL-bestanden van de applicatie precies staan. Dat is precies wat de patches voor uTorrent en VLC Media Player doen. Eerder was er al exploitcode voor zowel VLC als uTorrent verschenen, maar de maker van uTorrent zegt niets over eventueel misbruik te hebben gehoord. "We nemen de veiligheid van onze gebruikers zeer serieus en verontschuldigen ons voor het ongemak."
Belangrijk
In het geval van VLC gaat het om de tweede update in amper één week tijd. Ruim een week geleden verscheen versie 1.1.3, waardoor aanvallers via kwaadaardige MP3-bestanden systemen konden overnemen. Nu is versie 1.1.4 uitgekomen, die het DLL-lek verhelpt. "Kort na versie 1.1.3 werd er een belangrijk beveiligingslek in de meeste Windows applicaties ontdekt, wat ook VLC betrof. Aangezien security belangrijk is, is er hier een nieuwe versie voor het Windows platform!", aldus VideoLAN, de makers van VLC.
En waarom past Microsoft de regels niet aan ? Een programma kan alleen dll's laden uit die en die directory (ben geen windows expert, dus vervang 'die' door een zinnig pad). Vroeger rommelde ik met vbrun300.dll die allemaal verschillend waren en natuurlijk altijd weer niet samenwerken met zus en zo programma. Gewoon weghalen uit c:/windows/system en voor alle proggels die dit nodig hadden, een werkende vbrun in de eigen opstart dir zetten... aahja, dat waren nog eens tijden </mijmeren>
Het probleem bij Microsoft is dat ze te lang hebben toegestaan en het zelfs mogelijk hebben gemaakt om programma's te draaien die zich niet houden aan de regels. Misschien moeten ze daar nu eens keihard een eind aan maken. Dan blijf je inderdaad zitten met dezelfde problemen als met IE 7 en XP SP2: mensen die niet verder willen of kunnen, maar voor het overgrote deel van de gebruikers wordt het een stuk veiliger.
En ontwikkelaars worden gedwongen om beter werk af te leveren. Dat is altijd goed natuurlijk! :D
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
