Our Miss Brooks: House Trailer / Friendship / French Sadie Hawkins Day
一段时间以前,有关于一个安全问题的报告影响了大约40个不同的Windows应用程序。微软很快就通过发布更新或工具来阻止此类漏洞攻击,迅速响应此类针对此类Windows程序的零日攻击报告。但是,微软还澄清说,该漏洞不在Windows中。
阻止DLL负载劫持攻击的工具
Microsoft已发布安全通报(2269637),标题为“不安全的库加载可能允许远程执行代码”。微软意识到已经发布了一项研究,详细描述了一类影响应用程序如何加载外部库的漏洞的远程攻击媒介。此问题是由特定的不安全编程实践造成的,这些实践允许进行所谓的“二元种植”或“DLL预加载攻击”。当用户从不受信任的位置打开文件时,这些做法可能允许攻击者在用户运行易受攻击的应用程序的情况下远程执行任意代码。“
Microsoft还发布了一个更新程序,用于阻止加载DLL远程目录,从而防止DLL劫持。
此更新引入了新的注册表项CWDIllegalInDllSearch,它允许用户控制DLL搜索路径算法。 LoadLibrary API和LoadLibraryEx API使用DLL搜索路径算法,而不指定完全限定路径时加载DLL
当应用程序动态加载DLL而未指定完全限定路径时,Windows将尝试通过通过一套明确定义的目录进行搜索。这些目录集称为DLL搜索路径。只要Windows在目录中找到DLL,Windows就会加载该DLL。如果Windows在DLL搜索顺序中找不到任何目录中的DLL,则Windows将向DLL加载操作返回一个失败
更多详细信息和下载链接,请点击KB2264107。