» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 灌水区 » 多款Windows程序包含相同高危DLL漏洞 微软确认漏洞存在但不愿修复   作者: 标题: 多款Windows程序包含相同高危DLL漏洞 微软确认漏洞存在但不愿修复 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  多款Windows程序包含相同高危DLL漏洞 微软确认漏洞存在但不愿修复 目前，大约有40种不同的Windows应用程序中包含一种高危漏洞，它可以让攻击者劫持用户的电脑并让它们感染恶意软件。 四个月前，苹果公司曾经对Windows操作系统中使用的iTunes软件中所包含的这个漏洞进行了修补，但是至今仍然有30多种 Windows应用程序漏洞有待修补。苹果表示，该漏洞只影响Windows版iTunes，但对不使用DLL文件的Mac OS X系统不存在威胁。 查看:Microsoft Security Advisory 2269637 Released 网络漏洞管理公司Rapid7首席安全官HD Moore表示，这40种受影响的应用程序中的漏洞要分别进行修复，并不能够通过相同的补丁去修复。不过，Moore并未透露包含漏洞的Windows应用程序的名称和生产制造商。 微软对研究人员称，它不会修复一个可能导致许多Windows应用程序遭到攻击的安全漏洞。 据许多报道称，许多开发人员（包括微软的）滥用Windows的重要功能导致许多应用程序因装载组件的方式而受到攻击。 这个问题是上个星期首次出现的。当时，Rapid7首席安全官和开源软件 Metasploit黑客工具的制作者HD Moore说，他发现了包括Windows Shell在内的40个有漏洞的应用程序。一天之后，斯洛文尼亚的安全公司Acros说，在它从2008年12月开始实施的一项调查中，该公司发现了 200个有漏洞的Windows应用程序。 所有这些研究人员都指出，由于软件装载Windows动态链接库（即.dll扩展名的文件）以及.exe和.com为扩展名的可执行文件的方式存在问题，黑客能够利用许多Windows应用程序的安全漏洞。如果黑客在应用程序搜索的一个目录中植入伪装的恶意软件，当应用程序查找一个.dll、.exe或者.com文件时，黑客就能劫持用户的PC。 Kwon星期一说，他在包括Office 2007、Adobe Reader和所有主要的浏览器在内的Windows程序中发现了将近30个安全漏洞之后，他曾在2009年8月向微软报告了这个问题。 在Kwon与微软安全反应中心的工程师就远程可执行代码的安全漏洞问题进行的交流过程中，微软对他说，微软不会发布安全补丁，而是通过未来推出的Windows和Office的服务包来解决这个问题。 Kwon说，微软不愿意提供补丁是因为造成这种安全漏洞的根本原因是其它厂商的产品。微软还告诉他说，微软打算与那些包含安全漏洞的软件的厂商进行合作。 斯洛文尼亚的安全公司星期一在博客中说，根据我们的研究结果，我们可以肯定地说，所有的Windows用户都可能受到通过至少一种二进制代码植入安全漏洞实施的攻击。 微软对于Kwon所说的该公司不愿意或者不能通过修复Windows漏洞解决这个问题的说法不愿意发表评论。 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2010-8-24 10:52 zzz@zzz 注册用户 积分 111 发帖 111 注册 2010-1-4 #2   Dll黑洞,exe变量劫持,com伙伴劫持还是dos遗留下的漏洞依然有效,我就郁闷了 ※ ※ ※ 本文纯属【zzz@zzz】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 自由。。平等。。 2010-8-24 21:05 zzz@zzz 注册用户 积分 111 发帖 111 注册 2010-1-4 #3   都是ShellExecuteExW惹的祸,com啊,悲剧啊 [ Last edited by zzz@zzz on 2010-8-24 at 21:25 ] ※ ※ ※ 本文纯属【zzz@zzz】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 自由。。平等。。 2010-8-24 21:06 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #4   Security Advisory 2269637 |DLL Hijacking的触发原理和DLL安全编程 fuxudong 2010年08月26日 星期四 13:32    这两天在google翻译and有道的帮助下看了一些相关的资料，渐渐的开始对DLL挟持的原理和漏洞触发的条件有了一些认识。目前发现存在DLL挟持漏洞的软件要吗就是这个文件在某些系统下绝对没有（比如dwmapi.dll存在于Vista即以上系统，ieframe.dll存在于ie7以上版本），要么这个软件因为某些扩展需要而可以加载也可以不加载的文件（比如utorrent代码里面有调用plugin_dll.dll的行为但是不调用也不影响它的使用） 1 DLL挟持的原理 假设DLL安全搜索模式被启用，默认的搜索顺序如下：在我看的绝大多数的已经成功触发DLL挟持漏洞的软件都有一个特点：程序需要加载的DLL在安装目录下绝对没有，在系统目录下也绝对没有，逼迫系统直接到当前目录下去寻找同名的恶意文件加载。一个成功触发的trace图大家就可以明白了 该目录由该应用程序加载（即进程所在的目录，存在DLL挟持漏洞的程序都不会包含这个文件）。 该系统目录中。（%windir%\system32 这个目录下也绝对没有） 16位系统目录中。 在Windows目录中。(%windir% 这个目录下显然也不会有) 当前目录。(比如我运行MP3文件的目录，这就是这个所谓的DLL挟持漏洞的目录，程序傻傻的就加载了同名恶意dll文件) 这是在PATH环境变量中列出的目录（Pah环境变量） 2 DLL安全编程，避免产生DLL挟持问题 更多信息请访问http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx (1） 调用LoadLibrary， LoadLibraryEx， CreateProcess的，或者 的ShellExecute 等涉及到模块加载的函数的时候，指定DLL加载的完整路径，貌似应该有API可以获取当前程序运行的目录的 （2）考虑使用 的DLL重定向 或 Manifests文件 ，以确保您的应用程序使用正确的DLL。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs （3）确保DLL安全搜索模式被激活。未使用安全搜索设置的话，第二加载项就是当前目录。 HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode （4）从搜索列表中取消当前目录，可以通过调用SetDllDirectory 参数设置为一个空字符串 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2010-8-26 14:28 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号