Computerworld News Service: Et stigende antal rapporter viser, at en afgørende Windows-funktionalitet anvendes forkert af utallige udviklere heriblandt Microsofts egne, hvorved et stort antal programmer i Windows gøres sårbare overfor angreb, på grund af hvordan de indlæser visse komponenter.
Problemet dukkede først op i medierne i sidste uge, da HD Moore, der er sikkerhedschef hos Rapid7 og ophavsmand til open source hacker-værktøjet Metasploit, offentliggjorde at have fundet 40 sårbare applikationer heriblandt Windows shell. Blot en dag senere meddelte det slovenske sikkerhedsfirma Acros, at havde afdækket med firmaets eget værktøj over 200 fejlbehæftede Windows-programmer i en undersøgelse, der begyndte tilbage i november 2008.
Taeho Kwon, der er ph.d.-studerende i datalogi ved University of California, Davis, stod i løbet af weekenden frem med lignende resultater fra en forskningsartikel, han fik udgivet i februar i år.
Alle disse sikkerhedseksperter peger på, at mange Windows-programmer kan udnyttes af hackere, som narrer brugere til at besøge skadelige websites, på grund af den måde softwaren indlæser kodebiblioteker - der i Windows kaldes "dynamic-link library," og som har filtypenavnet ".dll" - samt eksekverbare ".exe"- og ".com"-filer. Hvis hackere kan plante forklædt malware i en af de mapper, som en applikation gennemsøger, når den leder efter en .dll-, .exe- eller .com-fil, så kan de få kontrol over computeren.
Måske i næste SP eller version
Kwon oplyser, at han rapporterede fire alvorlige sårbarheder til Microsoft i august 2009, efter han havde fundet fejl i næsten 30 Windows-programmer heriblandt Office 2007, Adobe Reader og alle udbredte browsere.
Under diskussionerne mellem Kwon og udviklere fra Microsoft Security Response Center om disse fejl, der åbner for fjernangreb, fik Kwon at vide, at virksomheden ikke vil udsende en security bulletin men vil i stedet tage hånd om problemet i kommende service packs til Windows og Office.
Kwon fortæller, at Microsoft afviste at udsende en opdatering, fordi "de underliggende årsager hører til i andre leverandørers produkter." Microsoft fortalte dog også Kwon, at virksomheden havde til hensigt at samarbejde med de leverandører, hvis software indeholder fejl.
I en e-mail til Computerworld i USA citerer Kwon en meddelelse, han modtog fra Microsoft:
"Med hensyn til de to specifikke sårbarheder, der identificeres i denne artikel, har Microsoft indvilget i at samarbejde med disse leverandører på vegne af forfatterne gennem MSVR-programmet (Microsoft Vulnerability Research)," skriver Microsoft.
"Da der kan opstå kompatibilitets-problemer med applikationer ved ændring af, hvordan 'Loadlibrary' og 'SetDllDirectory' fungerer aktuelt, har Microsoft til hensigt at håndtere det underliggende problem i en Service Pack eller næste version af Office-produkterne."
Oversat af Thomas Bøndergaard
Premium
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på gammel EU-aftale