安全警報微軟於8月23日推出的版本與發行商通常發布的版本不同。此缺陷不僅涉及運行內部作業系統的個人電腦。該漏洞被稱為« DLL 預先載入 »或者«二元種植»,也能影響Unix用戶因為惡意程式碼透過安全性較差的應用程式傳播。
損壞的函數庫
若要啟動某些程序,請使用庫。它包含可由多個應用程式使用的功能。 Microsoft 安全性警報中所述的感染方法涉及以受感染函數庫取代正確的 DLL(或 Unix 上的 .so)。所有這些同時使使用它們的程式相信它們正在使用真實的文件。«以便[傳播]成功後,應用程式必須僅透過名稱呼叫庫,而不是使用其完整路徑[指定其在計算機上的位置,編者註]»,微軟在其帖子中詳細介紹了這一點。
這個過程並不新鮮。但在那之前它一直在本地運作。最近,加州戴維斯大學計算機科學系的研究人員證明該技術可以在網路上使用。所有連接到 Internet 並使用瀏覽器等庫的應用程式都可能容易受到此缺陷的影響。
據斯洛維尼亞公司 Acros Security 稱,這種技術最近被用來感染 iTunes 用戶。« 連結到 iTunes for Windows 上的虛假動態庫允許攻擊者下載惡意 DLL 並在本機磁碟機或共用網路上運行它»,解釋安全專家在一份詳細描述這次襲擊的聲明中。
等待補丁時的工具?
在其公告中,微軟似乎淡化了污染對其應用程式的影響。«我們正在繼續調查,以查明這種新的污染媒介如何感染 Microsoft 產品。一如既往,如果發現這篇文章影響我們的任何產品,我們將做出適當的回應。» 在他們的學習中然而,加州研究人員統計出,雷蒙德出版商的 28 個常見軟體程式中約有 1,700 個不安全 DLL。
與此同時,這家 IT 巨頭正在提供下載一個工具阻止從 USB 金鑰甚至網站載入遠端目錄中的 DLL。
為了限制潛在的感染風險,編輯建議更改DLL的名稱潛在的脆弱性。甚至停用 WebDAV 用戶端(用於簡化遠端文件管理)在工作站上。對 WebClient 服務執行相同的操作。最後,微軟認為有必要封鎖TCP埠139和445防火牆。一系列新手電腦使用者無法執行的激進措施。
