31.08.2010 00:17

DLL-haavoittuvaisten sovellusten lista kasvaa

Windows-järjestelmien DLL-tiedostojen lataamiseen liittyvä haavoittuvaisuus on ollut yksi viime viikon suurista tietoturvauutisista. Pitkään olemassa ollut ongelma nousi uudestaan pinnalle, kun keksittiin, että sovelluksia voidaan huijata lataamaan vihamielinen DLL-tiedosto verkkolevyn kautta.

Alunperin vian arveltiin kohdistuvan noin 40:een sovellukseen, joista osa oli myös Microsoftin omia. Lukema on sittemmin kasvanut, ja tällä hetkellä haavoittuvia sovelluksia löytyy kokonaiset 85 kappaletta. Näistä 22 on Microsoftin käsialaa.

Kyse ei ole varsinaisesti Windowsin virheestä. Windows antaa kehittäjille lukuisia mahdollisuuksia estää ongelman realisoituminen. Vastuu onkin sovelluskehittäjillä, joista yllättävän moni on DLL-tiedostoja käsitellessään harjoittanut huolimattomia ohjelmointitapoja. Tuloksena on joukko sovelluksia, jotka jokainen on korjattava erikseen, jos riskiltä tahdotaan välttyä kokonaan.

Microsoft jätti ongelman korjaamatta lopullisesti jo kymmenen vuotta sitten vedoten korjauksen aiheuttamiin yhteensopivuusongelmiin. Virhe tehtiin kuitenkin neljä vuotta sitten, kun Windows Vistaan sisällytettiin useita sellaisia korjauksia, jotka aiheuttivat joka tapauksessa muutoksia vanhempiin sovelluksiin. Nykyisiltä ongelmilta oltaisiin vältytty, jos DLL-latausongelma oltaisiin korjattu samalla muidenkin Vistaan siirtymisestä seuranneiden muutosten kanssa.

Asiasta kertoi PCMag.