Som digi.no skrev i går, kom Oracle før helgen med en oppdatering som fjerner en alvorlig sårbarhet i installasjonsprogrammet til Java for Windows. Nå viser det seg Java bare er én av mange programvarer som er berørt av den aktuelle typen sårbarhet. Dette skriver Softpedia.
DLL-filer
Sårbarheten er av en type som kalles for DLL-sideloading eller DLL-kapring. Det handler om at en del programvare ser etter det samme DLL-biblioteket i flere ulike mapper på disken under oppstarten. Ondsinnede kan utnytte dette ved å legge en modifisert DLL-fil en slik mappe og få den sårbare programvaren til å laste den modifiserte DLL-filen i stedet for originalen.
I noen tilfeller lastes også helt andre DLL-filer, så lenge de ligger i riktig mappe. I en del tilfeller kan dette være brukerens nedlastingsmappe, som gjerne er den mappen hvor installasjonsprogramvare kjøres fra. Det holder derfor at en bruker lokkes til å laste ned en slik ondsinnet DLL-fil.
En fordel med dette, sett fra angriperens ståsted, er at det vanskelig for sikkerhetsprogramvare å kjenne igjen skadevaren i minnet, siden den kjøres som en del av en i utgangspunktet godartet programvare.
- NSAs elitehacker: – Slik gjør du livet surt for oss
Mange produkter er berørt
Den tyske sikkerhetsforskeren Stefan Kanthak ser ut til å ha brukt store deler av høsten og vinteren på lete etter denne typen sårbarheter i installasjonsprogramvaren til mye vanlig Windows-programvare.
Han har funnet mange tilfeller, men det er vanskelig å finne noen komplett liste, siden Kanthak har spredt rapportene litt ujevnt på i alle fall tre ulike nettsteder.
Softpedia nevner Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt og Apple iTunes, i tillegg til sikkerhetsprogramvare og leverandører som ZoneAlarm, Emsisoft Anti-Malware, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, Rapid7, Kaspersky og F-Secure.
En del av leverandørene, som Oracle, skal allerede ha kommet med oppdateringer som fjerner sårbarheten. Sårbarheten skal ha vært årsaken til at Rapid7 trakk tilbake selskapets ScanNow-produkt i desember.
Andre skal ha vært mer avvisende.
Råd
Det generelle rådet for å unngå å bli berørt, er å la være å laste ned separate DLL-filer, å slette alle DLL-filer som måtte finnes i nedlastingsmappen og generelt også å slette installasjonsprogramvare med en gang man har gjort seg ferdig med den. Last i stedet ned den aller nyeste versjonen dersom programvaren må installeres på nytt.
