Skocz do zawartości


Informacje o zgłoszeniu

  • #003929

  • Odrzucono

  • 2.2.3.27

  • -

  • 0 - brak

Potwierdzenia zgłoszenia

  • Tak (0)Nie (0)
Zdjęcie

Możliwa podatność AQQ na lukę ładowania DLL

Napisane przez VPN w 2010.08.27, 16:34

Mając w pamięci na jakiej zasadzie działał jeden z BK i czytając ten artykuł o luce w ładowaniu plików DLL z katalogu własnego aplikacji, zgłaszam potencjalną możliwość występowania tego błędu w AQQ.

Aktualizacja statusu do: Zatwierdzono
Aktualizacja istotności do: 2 - przeciętna

Póki co damy tak, zobaczymy co OC powie na to.

Parę dni temu podesłałem na priv Oconnelowi linka z tym artykułem więc na pewno jest tego świadomy :)

AQQ i tak pozwala na załadowanie dowolnego DLLa ((pluginy), więc nawet jakby błąd by był to niewiele by zmienił.

Aktualizacja statusu do: Odrzucono

Ciężka sprawa z tym zgłoszeniem. MS dał ciała, a teraz myśl człowieku co z tym zrobić. Generalnie chciałbym powiedzieć, że AQQ jest odporne na tego typu atak, ale było by to kłamstwo. Jeżeli chodzi o systemowe DLLki, lub generalnie DLLki z których korzysta AQQ nie trzeba się zbytnio martwić. Większość bibliotek z których AQQ korzysta to biblioteki systemowe, i to one musiały by być najpierw podmienione (czego sobie nie wyobrażam na systemach nowej generacji tj. Vista, 7) - ale na to już AQQ wpływu nie ma. Podatność jaką widzę, i jaką widzę w każdym kliencie który obsługuje tzw. wtyczki - to możliwość załadowania dowolnej DLLki która znajdzie się w katalogu z wtyczkami. Tutaj jest zagrożenie otwarte, ale nie widzę żadnej możliwości ochrony przed atakiem tego typu. Oczywiście AQQ mogło by pilnować aby nie wczytywać bibliotek które nie były instalowane przez system np. instalatora dodatków, ale rodzi to więcej problemów niż zysków. Poza tym, taki system też przecież może być łatwo złamany, poprzez nadpisanie wtyczki która jest autoryzowana, lub poprzez zmianę pliku zawierającego zapis autoryzowanych wtyczek. Dodatkowo, utrudni to pracę z AQQ - ręczna instalacja dodatków nie była by już możliwa. A tworzenie wtyczek stało by się koszmarem. Myślę, że rolę ochronną powinny tutaj w pierwszej kolejności dzierżyć antywirusy a dopiero w drugiej linii samo AQQ. W chwili obecnej nie widzę możliwości żadnych zmian pod kątem tego zagrożenia, tudzież zgłoszenie odrzucam. Aczkolwiek pamiętajmy o jednym. Taka pseudo-wtyczka musiała by być zgodna z systemem wtyczek AQQ, ponieważ wtyczki które z tym systemem zgodne nie są, zostaną wyładowane z pamięci natychmiastowo. Zagrożenie zatem jest bardzo, bardzo minimalne. Ochrona antywirusowa, i utrudnienia w implementacji tego typu wirusa starczą w zupełności przynajmniej na razie.

Nie zgodzę się. AQQ powinno przynajmniej blokować wszelkie "obce" DLLki w swoim katalogu instalacyjnym. Wtyczki przecież instaluje się w folderze prywatnym.

W swoim katalogu instalacyjnym? Sprecyzuj kolego - tak gdzie się znajduje AQQ.exe. Wiadomo nie od dziś, że można tak do każdego programu wrzucić systemową DLLkę. Ja tak robiłem chociażby gdy chciałem by program korzystał ze starszej wersji, albo aby jakaś gra działała mi na nowszym DX (stare czasy :P).

Chodzi o "najbliższe sąsiedztwo" AQQ.exe. W efekcie nie działałby ten BK, który opierał się na pliku DLL umieszczanym w katalogu aplikacji. Jak się okazało AQQ wcale nie kontrolowało co to za plik i beztrosko go ładowało ku uciesze co niektórych.

Aktualizacja statusu do: Zatwierdzono
Aktualizacja istotności do: 2 - przeciętna

Aktualizacja statusu do: Odrzucono

Jeżeli plik jest zgody ze strukturą API AQQ to zostanie załadowany. Nie ma tu znaczenia położenie DLLki, ktoś może chcieć celowo mieć jakąś wtyczkę w katalogu instalacyjnym. Jeżeli nie jest zgody zostanie wyładowany - tak jak powiedziałem.

Danielu ale tu nie jest mowa o wtyczkach DLL do interfejsu AQQ tylko o plikach DLL, które proces AQQ używa np. gdiplus.dll, kernel32.dll, wdmaud.dll, dsound.dll, msvcrt.dll, mshtml.dll, mswsock.dll, WS2_32.dll, Dxtrans.dll, ntdll.dll (...) wymieniać dalej? :P

Aktualizacja statusu do: Zatwierdzono
Aktualizacja wersji do: 2.2.3.27

Danielu ale tu nie jest mowa o wtyczkach DLL do interfejsu AQQ tylko o plikach DLL, które proces AQQ używa np. gdiplus.dll, kernel32.dll, wdmaud.dll, dsound.dll, msvcrt.dll, mshtml.dll, mswsock.dll, WS2_32.dll, Dxtrans.dll, ntdll.dll (...) wymieniać dalej? :P

Ale one nie są ładowane ręcznie, tzn LoadLibrary() nie jest używane.

Aktualizacja statusu do: Odrzucono

Dokładnie...





Użytkownicy przeglądający to zgłoszenie: 0

0 użytkowników, 0 gości, 0 anonimowych