Microsoft alerte sur une énorme faille dans la gestion des DLL
Date 26-08-2010 17:56:16 | Sujet : Les Virus du Net
| Microsoft vient de tirer la sonnette d’alarme dans un bulletin de sécurité, alerte concernant la possibilité d'exécuter à distance du code arbitraire par le biais de fichiers DLL spécialement conçus pour ce type d’attaque. Et cette fois, des dizaines d’applications sont faillibles et la faille est exploitée.
Dans les faits et pour expliquer le cheminement de l’attaque, quand une application charge une DLL sans spécifier un nom de chemin d'accès complet, Windows tentera de localiser la DLL par la recherche d'un ensemble défini de répertoires.
Comme l’explique Microsoft, ces ensembles de répertoires sont connus sous le nom de recherche de chemin d'accès de fichier DLL. Dès que Windows trouve le fichier DLL dans un répertoire, il le chargera. Si Windows ne trouve le fichier DLL dans aucun répertoire dans l'ordre de recherche de fichier DLL, l'opération de chargement de fichier DLL est un échec.
Les fonctions LoadLibrary et LoadLibraryEx sont utilisées pour charger des fichiers DLL de manière dynamique. Voici l'ordre de recherche de fichiers DLL pour ces deux fonctions :
- le répertoire à partir duquel l'application s'est chargée ;
- le répertoire système ;
- le répertoire système 16 bits ;
- le répertoire Windows ;
- le répertoire de travail actuel ;
- les répertoires qui sont répertoriés dans la variable d'environnement PATH.
Le problème est que plusieurs applications (logiciels) ne se servent pas du chemin absolu pour appeler les DLL au lancement de l’application, mais les appelle par leurs noms.
Une clé USB suffit pour provoquer l’attaque. Vous branchez une clé USB pour y lire un MP3 téléchargé sur Internet, avec un fichier caché correspondant à une DLL de iTunes. Un double clic sur le fichier MP3 suffit pour lancer la DLL « malicieuse », iTunes faisant partie de la longue liste des applications vulnérables.
Attendez-vous dans les prochaines heures à voir « déferler » une vague de mises à jour du côté de vos applications favorites, si ces dernières sont vulnérables (iTunes, VLC 1.1.3, Skype, Opera, Firefox, Thunderbird, Media player classic, Avast, Safari pour ne citer qu’eux)
Microsoft propose une rustine temporaire afin de contrôler l'algorithme de recherche de chemin d'accès de fichier DLL :
Une nouvelle entrée de Registre CWDIllegalInDllSearch est disponible pour le contrôle de l'algorithme de recherche de chemin d'accès de fichier DLL
Il ne reste plus qu’aux éditeurs de logiciels de vérifier leurs codes pour remplacer les appels de DLL par leurs noms, par des appels par leurs chemins absolus.
En attendant, vérifiez si des mises à jour ne sont pas disponibles pour vos logiciels, si ces derniers ne vous les proposent pas de manière automatique.
|
|