Security des tages

Benutzerfreundlichkeit macht alles besser, und die modernen brauser sind ein segen… vor allem für kriminelle:

Vermutlich ist es allgemein bekannt: wenn sie etwas mit ihrem modernen brauser wie zum beispiel guhgells krohm oder meikrosofts „edge“ herunterladen, wird diese datei auf einen einfachen klick hin auf ihr lokales system heruntergeladen, ohne dass es zusätzlicher bestätigungen bedarf. In der standardeinstellung wird die datei in ihrem daunlohd-verzeichnis unter C:\Users\<username>\Downloads abgelegt.

[…]

Dieses funkzjonsmerkmal „auto-daunlohd“ ist gut, wenn man es von der benutzererfahrung her betrachtet, aber es ist nicht so gut für die kompjutersicherheit, insbesondere, weil der daunload auch über javascript angestoßen werden kann. Der angreifer könnte einfach eine boshaft erstellte DLL mit einem bestimmten namen in das daunlohds-verzeichnis legen, wenn das opfer eine webseit besucht, die vom angreifer kontrolliert wird. Später, wenn das opfer versucht, gute programme (also: ausführbare dateien) von seriösen webseis daunzulohden und zu installieren, wird diese gute ausführbare datei ebenfalls daungelohdet und natürlich im daunlohds-order ausgeführt — und schon kommt es dazu, dass der vorgang der installazjon oder ausführung übernommen wird.

Das hat seinen grund darin, dass die meisten ausführbaren dateien DLLs benötigen. In jedem fall ist dabei das verzeichnis der anwendung der allererste ort in der suchreihenfolge, wenn eine DLL gesucht und geladen wird […] Es ist auf diese weise möglich, die meisten DLLs und sogar die DLLs des betriebssystemes zu übernehmen, indem eine gleichnamige DLL in das verzeichnis der ausführbaren datei platziert wird. […]

Die ganze geschichte in englischer sprache und mit dem video einer demonstrazjon bei Haifei weiterlesen. [via full disclosure]

Übrigens ist der krohm von guhgell bei diesem häckchen unsicherer als der „edge“ von meikrosoft, der beim daunlohd einer nichtsignierten DLL eine warnung anzeigt.