Fix-it-pikakorjaus huippuvaarallisen dll-ongelmaan
25
Viime viikkoina on havaittu perustavanlaatuinen rakenteellinen turvaongelma, joka vaivaa jopa satoja Windows-ohjelmia. Netissä on myös nähty ensimmäisiä hyökkäyksiä. Nyt Microsoft on julkaissut Fix-it-korjauksen, joka antaa väliaikaisen suojan.
Ongelma johtuu siitä, että Windows-sovelluksissa on laajasti käytetty turvatonta tapaa ladata dll-ohjelmakirjastoja. Ohjelmat eivät ole yksilöineet tarkasti dll-kirjaston sijaintipaikkaa. Niinpä rikolliset voivat huijata sovelluksia lataamaan haittaohjelmia dll-kirjastojen sijasta.
Microsoft on periaatteessa antanut asialliset ohjeet siitä, miten dll-kirjastoja ladataan, mutta yhtiö ei ole edes itse noudattanut niitä. Acros Security -turvayhtiö kertoo löytäneensä dll-turva-aukkoja 41:stä eri Microsoftin ohjelmasta. Yhteensä haavoittuvia Windows-ohjelmia on ehkä parisen sataa.
Helpompi työkalu tuo tilapäisen korjauksen
Microsoft on jo julkaissut tilapäisen työkalun, joka estää dll-kirjastojen vääränlaisen käytön. Työkalua täytyy kuitenkin säätää asennuksen jälkeen.
Yhtiö kertoo nyt blogissaan, että varsinkin yritykset ovat toivoneet helpompaa työkalua. Niinpä Microsoft on rakentanut Fix-it-korjauksen, joka tekee tarvittavat säädöt automaattisesti. Työkalu täytyy asentaa ensin, ja sen jälkeen Fix-it-korjaus hoitaa loput.
Tämän lisäksi yrityksille yritetään rakentaa erillistä päivitystyökalua, jota voisi käyttää Windows Server Update Services -työkalujen kanssa. Näin päivityksen voisi levittää helpommin kokonaisiin yritysverkkoihin.
Lopullinen korjaus ongelmaan on se, että Microsoft ja muut ohjelmatalot korjaavat ohjelmistonsa. Tämä työ kestää todennäköisesti kuukausia.
