Microsoftがセキュリティアドバイザリ(2269637)をリリースしました。ライブラリの読み込みが安全でないため、リモートでコードが実行される可能性があります。
このメモは、この問題の検出に役立つツールと、ダイナミックリンクライブラリのセキュリティに関するプログラミングガイドラインに言及しています。
これらのガイドラインはどのように.NET開発に変換されますか?これはPlatformInvokeにのみ影響すると思います。
これは、システムライブラリをインポートするための推奨される方法のままですか?
DllImport("user32.dll")]
user32.dllのようなシステムDLLは、レジストリのKnownDLLsリストにあるため、安全です。と呼ばれるDLLを読み込もうとすると"user32"、Windowsはsystem32ディレクトリから公式コピーを取得するようにハードコーディングされています。
そのページから:
マイクロソフトは、MSDNの記事「ダイナミックリンクライブラリのセキュリティ」で、このクラスの脆弱性を防ぐために利用可能なアプリケーションプログラミングインターフェイスを正しく使用する方法について、開発者にガイダンスを発行しています。
と
この問題は、外部ライブラリを安全にロードしないアプリケーションにのみ影響します。Microsoftは以前、MSDNの記事Dynamic-Link Library Securityで開発者向けのガイドラインを公開しており、これらの攻撃に対して安全なライブラリをロードするための代替方法を推奨しています。
そのページで概説されているガイドラインに従っている限り、アプリケーションは安全である必要があります。安全なプロセス検索モードとディレクトリ検索の順序に関する注意事項は、特に関連があるようです。
アプリケーションをインストールして、HDMooreのツールを実行します。HD Mooreは、この攻撃パターンを発見しました。
アプリケーションがファイル拡張子を自動的に実行する責任を負わない場合、 脆弱性はありません。このツールを実行すると、脆弱なアプリケーションのリストにアプリが表示されないことは間違いありません。