8月23日,微软发布2269637号安全公告,公告称编写某些不规范的dll文件可能导致包括病毒***在内的任意程序被执行。金山毒霸安全专家表示,应 用程序运行时需要在当前路径,系统路径下搜索必要的库文件(扩展名为dll的文件)加载,若库文件存在编写不规范等缺陷,就可能导致***病毒等恶意程序被 加载。据悉,该漏洞可能存在于Windows XP至Windows 7的多个版本,而且近百款第三方应用软件也存在漏洞被利用的风险。

微软安全公告显示,该漏洞可能存在于Windows XP至Windows 7的多个版本,第三方应用软件也存在漏洞被利用的风险。***者可以利用这个漏洞创建一个特殊的程序或文档,若具备管理权限的用户运行(打开)这些特殊的文 件(文档),则可能导致计算机被***者完全控制。

目前,有关***代码已经被发布在互联网。***可以根据这些***代码,制造出相应的***程序。金山毒霸安全实验室经过测试,判断这些漏洞危害较为严重。已知 wireshark,Windows Live email,Microsoft MovieMaker,Firefox,uTorrent 和PowerPoint已被利用。

如下图演示的那样,***者构造一个隐藏属性的plugin_dll.dll,和一个BT种子文件放在同一路径,用户双击这个种子文件试图启动BT下载时,会调用计算器程序,当然真正的***者会直接调用有害程序,而不是一个有界面的计算器。

金山毒霸安全预警:不安全的dll文件导致Windows被***_第1张图片

用同样的办法,***可以构造一个pptimpconv.dll的文件和一个PPT文档打包,当用户打开这个PPT文件时,指定的***程序可以在后台运行。

金山毒霸安全实验室分析认为,该漏洞除Windows系统外,第三方软件也广泛存在,上周出现的数字大盗病毒dll文件被恶意利用和这个漏洞类似。建议软件开发者参考微软MSDN官方文档,检查自己开发的DLL程序是否存在风险。

金山毒霸安全实验室会密切关注该漏洞的更多进展,用户可使用金山卫士修复相关漏洞,使用金山毒霸2011安全套装可以提升系统安全性。

参考资料:
http://www.exploit-db.com/exploits/14723/
http://www.exploit-db.com/exploits/14726/
http://www.theregister.co.uk/2010/08/24/windows_dll_casualties/
http://www.microsoft.com/technet/security/advisory/2269637.mspx
http://blogs.technet.com/b/srd/archive/2010/08/23/more-information-about-dll-preloading-remote-attack-vector.aspx


特别鸣谢:
一把锈剑