DLL-Lücke: Viele Windows-Programme laden DLLs auf unsicherem Weg.

Microsoft bestätigt erstmals die Existenz der DLL-Sicherheitslücke, wie sie letzte Woche von mehreren Securtiy-Experten beschrieben wurde. Das Kernproblem ist, dass die meisten Windows-Programme einen unsicheren Weg nutzen, um DLL-Dateien zu laden.

Beispiel: Liegt ein Video auf einem Server im Internet, dann kann es mit einem Player direkt abgespielt werden. Der Player selbst lädt aber nicht nur das Video, sondern braucht auch DLL-Dateien um korrekt zu funktioneren. Problematisch ist, dass nicht immer klar ist, wo die passenden DLLs liegen. Der Bug: Oft gucken Programme als erstes im aktuellen Verzeichnis nach DLLs, also im Beispiel in dem Server-Verzeichnis, in dem auch die Video-Datei liegt.

Angreifer können dann eine manipulierte DLL-Datei neben dem Video ablegen und sich auf diesem Weg Adminrechte verschaffen. Ein Windows-Patch kann dieses Problem nicht beheben, vielmehr müssen die Programmanbieter selbst ihre Tools patchen. Wie man DLL-Dateien sicher lädt, beschreibt Microsoft in einem eigenen Beitrag.

http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx


http://www.chip.de/news/Schutz-vor-DLL-Luecke-in-Windows-Programmen_44433817.html

Danke, kann nicht schaden.

http://img9.imageshack.us/img9/7188/34221408.jpgichtiger Hinweis. Schade, daß solche technischen Beiträge/Themen hierzuforum nicht die Aufmerksamkeit erlangen, die ihnen eigentlich zusteht...

Die Sache ist ziemlich unangenehm, denn im Prinmzip müßte für jedes einzelne Programm, das einer auf dem Rechner hat (und das sind sehr viel mehr, als man so denkt!) ein eigener Patch herausgegeben und installiert werden.

Horridoh!

Gut zu wissen. Wobei eine gute Firewall und gute Antivirussoftware da schon viel Schaden verhindern können.

Gut zu wissen. Wobei eine gute Firewall und gute Antivirussoftware da schon viel Schaden verhindern können.
Oder Linux :P

Oder Linux :P

Da gehen soviele Programme nicht mehr, es ist nicht zum Aushalten.

Da gehen soviele Programme nicht mehr, es ist nicht zum Aushalten.
Mache es wie ich: Windoof (XP übrigens, 7 kann es nämlich auch nicht) für das Auslesen von Geräten und bestimmte Programme. Linux für's Internet.

Danke für den Tipp !

Entschuldigt die blöde Frage, aber was genau muß man jetzt machen ?

Entschuldigt die blöde Frage, aber was genau muß man jetzt machen ?
Videos im Internet nur mit Linux gucken.

Videos im Internet nur mit Linux gucken.

Paule, wirklich, eine Hilfe bist Du ja nun nicht gerade wo Du genau weißt, daß ich nicht mit Linux arbeite- und auch nicht arbeiten werde.

Aber komm mal, ich habe immerhin auf den Feuerfuchs umgestellt, also sei nachsichtig mit mir und erkläre mir, was ich jetzt machen muß.

Paule, wirklich, eine Hilfe bist Du ja nun nicht gerade wo Du genau weißt, daß ich nicht mit Linux arbeite- und auch nicht arbeiten werde.

Aber komm mal, ich habe immerhin auf den Feuerfuchs umgestellt, also sei nachsichtig mit mir und erkläre mir, was ich jetzt machen muß.
Das weiß ich nicht. Das war völlig ernst gemeint. Du müßtest tief ins Betriebssystem eingreifen oder irgendeine Software suchen, die darauf reagiert.

Due sollst nicht mit Linux arbeiten. Nur parallel installieren und das dann ausschließlich für den Internetzugriff verwenden. Mache ich ja auch so (außer mit diesem Laptop, der ist nicht im Netz)

Die beiden ports abschalten und den registryEintrag vornehmen.
Wem das nix sagt, bei dem ists eh egal ;-)

Die beiden ports abschalten und den registryEintrag vornehmen.
Wem das nix sagt, bei dem ists eh egal ;-)
Siehste, das meinte ich. Jetzt stellt sich die Frage, was Henri einfacher fällt ;)

Man kann diesen halben Patch installieren:
http://support.microsoft.com/kb/2264107

und anschließend in der Registry die Dll-Suche im Arbeitsverzeichnis unterbinden.

Alternativ kann man aus einer VM heraus im Internet surfen. Wenn da ein Angreifer was anstellen will, muss einen das nicht interessieren, da das Host-System davon unberührt bleibt.

Oder Linux :P

Linux treibt mich manchmal wirklich zur Verzweiflung; man muss immer davon ausgehen, dass -egal was man macht- alles mindestens doppelt so schwierig zu realisieren ist als in Windows.

Linux treibt mich manchmal wirklich zur Verzweiflung; man muss immer davon ausgehen, dass -egal was man macht- alles mindestens doppelt so schwierig zu realisieren ist als in Windows.
Nicht bei Ubuntu. Und ich schrieb ja, als Parallelsystem, nur zum surfen. Halbe Stunde Installation, die im Gegensatz zu Windows automatisch abläuft: loslegen. Nix Treiber suchen, nix Internet konfigurieren, einfach los.

Man kann diesen halben Patch installieren:
http://support.microsoft.com/kb/2264107

und anschließend in der Registry die Dll-Suche im Arbeitsverzeichnis unterbinden.

Alternativ kann man aus einer VM heraus im Internet surfen. Wenn da ein Angreifer was anstellen will, muss einen das nicht interessieren, da das Host-System davon unberührt bleibt.
Sag selbst, ist da Ubuntu als Parallelinstallation nicht einfacher?

Nicht bei Ubuntu. Und ich schrieb ja, als Parallelsystem, nur zum surfen. Halbe Stunde Installation, die im Gegensatz zu Windows automatisch abläuft: loslegen. Nix Treiber suchen, nix Internet konfigurieren, einfach los.

@Paul Felz:
Guter Witz, mit Ubuntu habe ich noch grössere Probleme als mit Suse; da finde ich Suse und KDE ja noch besser; blöd ist auch, dass Ubuntu unbedingt den bootloader grub installieren muss, der dann auch nicht richtig funktioniert.

Da gehen soviele Programme nicht mehr, es ist nicht zum Aushalten.
Bei mir streikt seit heute mein Mailprogramm.
Firefox hat geblockt (Jemand hat versucht auf ihre Passwörter zuzugreifen, bla, bla ......... ) und jetzt ist das Mailprogramm T-Online tot. ;(

@Paul Felz:
Guter Witz, mit Ubuntu habe ich noch grössere Probleme als mit Suse; da finde ich Suse und KDE ja noch besser; blöd ist auch, dass Ubuntu unbedingt den bootloader grub installieren muss, der dann auch nicht richtig funktioniert.
Die Probleme hatte ich noch nie. Und ich habe folgene Kombinationen:
Ubuntu / Mint (Gnome)
Windows XP / Mint (KDE)
Windows XP / Ubuntu
Windows XP / Ubuntu


Wobei ich einmal tatsächlich Probleme hatte, weil der alte PC Ubuntu nicht mehr verkraftete, Mint allerdings schon.