Windows-programma's die met de mingw-w64-compiler zijn gemaakt missen standaard een belangrijke beveiligingsmaatregel, waardoor het eenvoudiger wordt voor aanvallers om misbruik van kwetsbaarheden te maken. Dat meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
Address Space Layout Randomization (ASLR) is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. Bij het compileren van een programma kan de ontwikkelaar aangeven dat de software compatibel met ASLR is.
Mingw-w64 is een compiler voor het genereren van Windows-programma's. De via mingw-w64 gecompileerde programma's claimen met ASLR compatibel te zijn, maar dat is door een fout in de compiler standaard niet het geval. Daardoor zijn kwetsbaarheden in deze programma's eenvoudiger te misbruiken. Een voorbeeld hiervan is de Windows-versie van VLC media player, die ook via mingw-w64 was gecompileerd.
Begin deze maand verscheen er een exploit voor VLC 2.2.8. Het openen van een kwaadaardig mkv-bestand was voldoende om een aanvaller volledige controle over het systeem te geven. De exploit bleek te werken omdat VLC via mingw-w64 was gecompileerd en zodoende niet echt gebruik van ASLR maakte. Het probleem is niet nieuw. Al in 2013 werd hiervoor gewaarschuwd. Het CERT/CC zegt niet bekend te zijn met een praktische oplossing voor het probleem. Als 'workaround' wordt aangeraden om bij het compileren een extra commando op te geven, zodat ASLR wel correct wordt toegepast.
Deze posting is gelocked. Reageren is niet meer mogelijk.