Microsoft warnt vor DLL-Lücke in Anwendungen

In einem Advisory warnt Microsoft vor einem verbreiteten Programmierfehler, durch den Programme Schadcode in präparierten DLL-Dateien ausführen. Dabei öffnet der Anwender etwa ein Bild auf einem Netzwerklaufwerk. Die installierte Anwendung lädt dann unter Umständen auch Bibliotheken, in denen sich Schadcode befinden könnte, aus diesem Netzwerkverzeichnis nach.

Nachdem der Sicherheitsdienstleister Acros das problematische Verhalten in iTunes entdeckt hatte, erklärte der Metasploit-Entwickler HD Moore dass rund 40 weitere Anwendungen davon betroffen seien. Thierry Zoller zufolge ist unter anderem Photoshop anfällig. In iTunes hat Apple das Problem bereits behoben; welche anderen Anwendungen noch anfällig sind, ist derzeit nicht bekannt.

Zum Schutz empfiehlt Microsoft derzeit, den WebDAV-Dienst zu beenden und ausgehende SMB-Verbindungen durch die Firewall zu blockieren. Darüber hinaus stellen sie ein Tool bereit, mit dem man das Suchverhalten beim Laden von Bibliotheken durch Registry-Einträge beeinflussen kann. In einem Blog-Eintrag erklären Microsofts-Sicherheitspezialisten die Bedeutung der einzelnen Werte.

Ganz neu ist dieses Szenario nicht: Die NSA hat bereits vor 12 Jahren in ihren "Windows NT Security Guidelines" vor "DLL Spoofing" gewarnt. Und Microsoft erklärt zwar Entwicklern bereits seit geraumer Zeit, wie man Bibliotheken richtig lädt. Doch offenbar halten sich viele Applikationen nicht an diese Richtlinien. Ob es jemals einen Patch geben wird, der das Problem aus der Welt schafft, ist zumindest zweifelhaft. Immerhin erklärt Microsoft, dass es nicht möglich sei, das Problem direkt in Windows zu beheben, da dann dokumentierte Funktionen nicht mehr wie erwartet funktionieren würden. (rei)