Guide: Workaround für den DLL-Preloading-Bug in Windows

[doelf]

Bereits am Dienstag hatten wir gemeldet, dass Microsoft erste Schritte gegen den DLL-Preloading-Bug, welcher sämtliche Versionen von Windows betrifft, eingeleitet hat. Die aktuelle Lösung richtet sich allerdings in erster Linie an Administratoren und wurde leider alles andere als komfortabel umgesetzt. Aufgrund zahlreicher Nachfragen haben wir uns entschlossen, den Workaround Schritt für Schritt zu beschreiben.



Der DLL-Preloading-Bug ist weniger ein konkreter Fehler in Windows als eine konzeptionelle Schwäche des Betriebssystems. Sofern sich alle Entwickler streng an Microsofts Vorgaben halten, kann nichts passieren. Zugleich erlaubt es Windows jedoch, sehr schlampig zu programmieren. Und da die meisten Anwendungen unter hohem Zeitdruck entstehen, weisen unzählige Applikationen einen Fehler auf, welcher zusammen mit besagter konzeptionellen Schwäche ein hochgradig kritisches Gemisch ergibt.

Guide: Workaround für den DLL-Preloading-Bug in Windows
https://www.au-ja.de/guide-windows-dll- ... nd-1.phtml

[ThePreacher]

Gibt es eigentlich irgendwo schon Listen der Anwendungen, welche mit "FFF..." bzw. "1" oder "2" nicht mehr laufen? Google bringt da noch nicht viel.

Es hat mich heute schon einigermaßen schockiert, auch FireFox in der Secunia-Liste der "bösen" Anwendungen zu finden...

[ThePreacher]

Ich habe jetzt was gefunden:
http://www.corelan.be:8800/index.php/20 ... cial-list/

Aber die Liste ist bei weitem nicht komplett. Es scheint das sinnvollste zu sein, als Admin sämtliche Anwendungen virtuell zu testen, die Ausnahmen für bestimmte ".exe"-Dateien in die Registry einzutragen und den fertigen Schlüssel dann zu exportieren, um ein Roll-Out zu versuchen.
Allerdings können die DLL's ja auch verzögert nachgeladen werden, und damit tappt man bis zum ersten Fehler im Dunkeln.
Meiner Ansicht nach müsste MS den Patch standardmäßig auf FFF... stellen und dazu eine fertige Ausnahmeliste mit den passenden Einträgen liefern, die regelmäßig aktualisiert wird. Für einen Admin ist der Aufwand ansonsten unmöglich zu stemmen!

[doelf]

Naja, die Anwendungen streiken ja nur dann, wenn die DLLs tatsächlich in den Arbeitsverzeichnissen liegen - und das ist je eher eine Ausnahme. Und falls die Anwendung übers Netz geladen werden, schaffen die Werte 1 und 2 Abhilfe. Ich würde mich gar nicht mit einzelnen Anwendungen befassen sondern die Regel global definieren.

Gruß

Michael

[doelf]

Nebenwirkungen:
- Google Chrome 5 scheitert jetzt bei der HTML5-Verarbeitung (Generelle Sperre mit FFF...)

[ThePreacher]

Steam und Steamworks von Valve können zwar bereits vorhandene Spiele ausführen, der Kauf und die Installation von neuen Spielen scheitert aber. Genauso ist es unmöglich, Desktop-Verknüpfungen für Spiele durch Steam erstellen zu lassen. Diese ".reg"-Datei sollte helfen:

Code: Alles auswählen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\steam.exe]
"CWDIllegalInDllSearch"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SteamService.exe]
"CWDIllegalInDllSearch"=dword:00000000

LG

[doelf]

Danke für den Hinweis!

Gruß

Michael

[ThePreacher]

Im Forum von Valve wurde im ChangeLog auch ein Fix für das Problem mit Steam mit der letzten Beta zugesichert. Allerdings bekommt man nach Installation der Beta mit der globalen Einstellung immer noch SteamService Fehler im Windows-Fehler-Log. Es kann sein, dass es mit der globalen Einstellung auf "2" funktioniert, das habe ich aber noch nicht probiert. Und da gar nicht mal so arg viele Anwendungen mit "0xFFF..." nicht mehr richtig laufen, werde ich die Einstellungen zumindest vorerst auf "=0xFFF..." lassen.

Nochwas: obwohl Adobe Audition von dem DDL-Bug Problem betroffen ist, scheint die Anwendung mit "0xFFF..." einwandfrei zu laufen.

[doelf]

Danke für das Update! Microsoft denkt jetzt wohl über einen Patch für die Massen nach.

Gruß

Michael

[doelf]

Folgende Anwendungen sind zwar angreifbar, doch es ist bereits ein Update verfügbar:

• * Apple Safari 5.0.1; sicher seit 5.0.2
  * Mozilla Firefox 3.6.8; sicher seit 3.6.9
  * Mozilla Thunderbird 3.1.2; sicher seit 3.1.3
  * Mozilla SeaMonkey 2.0.6; sicher seit 2.0.7
  * Opera 10.61; sicher seit 10.62
  * Teamviewer 5.0.8703; sicher seit 5.1.9072
  * uTorrent 2.0.3; sicher seit 2.0.4
  * Videolan VLC Media Player 1.1.3; sicher seit 1.1.4
  * Wireshark 1.2.10; sicher seit 1.4