Samme type sårbarhet rammer mengder av programvare

Oracles Java er langt fra alene. Alt fra Chrome til iTunes er berørt.

Åpen hengelås. Sårbarhet. Sikkerhetshull.
Åpen hengelås. Sårbarhet. Sikkerhetshull. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald BrombachNyhetsleder
9. feb. 2016 - 08:52

Som digi.no skrev i går, kom Oracle før helgen med en oppdatering som fjerner en alvorlig sårbarhet i installasjonsprogrammet til Java for Windows. Nå viser det seg Java bare er én av mange programvarer som er berørt av den aktuelle typen sårbarhet. Dette skriver Softpedia.

DLL-filer

Sårbarheten er av en type som kalles for DLL-sideloading eller DLL-kapring. Det handler om at en del programvare ser etter det samme DLL-biblioteket i flere ulike mapper på disken under oppstarten. Ondsinnede kan utnytte dette ved å legge en modifisert DLL-fil en slik mappe og få den sårbare programvaren til å laste den modifiserte DLL-filen i stedet for originalen.

I noen tilfeller lastes også helt andre DLL-filer, så lenge de ligger i riktig mappe. I en del tilfeller kan dette være brukerens nedlastingsmappe, som gjerne er den mappen hvor installasjonsprogramvare kjøres fra. Det holder derfor at en bruker lokkes til å laste ned en slik ondsinnet DLL-fil.

En fordel med dette, sett fra angriperens ståsted, er at det vanskelig for sikkerhetsprogramvare å kjenne igjen skadevaren i minnet, siden den kjøres som en del av en i utgangspunktet godartet programvare.

Mange produkter er berørt

Den tyske sikkerhetsforskeren Stefan Kanthak ser ut til å ha brukt store deler av høsten og vinteren på lete etter denne typen sårbarheter i installasjonsprogramvaren til mye vanlig Windows-programvare.

Han har funnet mange tilfeller, men det er vanskelig å finne noen komplett liste, siden Kanthak har spredt rapportene litt ujevnt på i alle fall tre ulike nettsteder.

Softpedia nevner Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt og Apple iTunes, i tillegg til sikkerhetsprogramvare og leverandører som ZoneAlarm, Emsisoft Anti-Malware, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, Rapid7, Kaspersky og F-Secure.

En del av leverandørene, som Oracle, skal allerede ha kommet med oppdateringer som fjerner sårbarheten. Sårbarheten skal ha vært årsaken til at Rapid7 trakk tilbake selskapets ScanNow-produkt i desember.

Andre skal ha vært mer avvisende.

Råd

Det generelle rådet for å unngå å bli berørt, er å la være å laste ned separate DLL-filer, å slette alle DLL-filer som måtte finnes i nedlastingsmappen og generelt også å slette installasjonsprogramvare med en gang man har gjort seg ferdig med den. Last i stedet ned den aller nyeste versjonen dersom programvaren må installeres på nytt.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra