<div dir="auto"><div><div class="gmail_extra"><div class="gmail_quote">Le 10 mars 2017 18:31, "Rémi Denis-Courmont" <<a href="mailto:remi@remlab.net">remi@remlab.net</a>> a écrit :<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le perjantaina 10. maaliskuuta 2017, 18.22.13 EET Jean-Baptiste Kempf a<br>
écrit :<br>
<div class="quoted-text">> On Fri, 10 Mar 2017, at 18:17, Rémi Denis-Courmont wrote:<br>
> > You can't load kernel32.dll at run-time anyway, since it contains the<br>
> > run-time<br>
> > loader.<br>
><br>
> Take any of those. Remove gdi or advapi or user32 or any other library<br>
> that we link statically against.<br>
> Show me how.<br>
><br>
> > > If you can change advapi32, kernel32, user32, shell32, psapi or<br>
> > > msvcrt.dll and change them to either not be KnownDLL or be modified,<br>
> > > then your system security is fucked.<br>
> ><br>
> > Sure. And if an attacker can overwrite any (other) of the MSDN documented<br>
> > DLLs, I am fucked too. Whether or not it´s a known DLL.<br>
> ><br>
> > Because plenty of executables will link them in the PE header.<br>
><br>
> And your point is?<br>
><br>
> winmm.dll and wininet.dll are not knowndll, so putting a dll named like<br>
> that on a portable VLC, next to VLC.exe will load them, in the normal<br>
> configuration, without being admin.<br>
<br>
</div>If somebody can put a DLL in the same directory as your application, you are<br>
fucked. With or without this patch. Two orders of magnitude more so with VLC,<br>
and its habit of  automatically loading any plugin you throw at it.<br></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">There are obviously many levels on which the app can be compromised. And obviously we can't do anything about a recompiled version with malware added (well, in the next Windows it's possible to disallow running apps not coming from the store).</div><div dir="auto"><br></div><div dir="auto">But in this case the idea is not to tamper the software at all. You can update it and the hack still remains. Nothing is even installed on the infected/spied on computer. So we should definitely fix that kind of attack. Having the manifest embedded is the first step. But it's always possible to remove it (and a potential exe signature). The software still looks legit and run the same. So we should also avoid "implib loading" those DLLs that are not known DLLs and preloaded for anyone to use at boot. We can load them later, only from System32 when we need them, as patches show. </div><div dir="auto"><br></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Loading DLLs from CWD is (or was) a security vulnerability. Loading DLLs from<br>
the app directory might be suboptimal for "safety", but is not a "security"<br>
vulnerability under any sane threat model.<br>
<div class="quoted-text"><br>
--<br>
雷米‧德尼-库尔蒙<br>
<a href="https://www.remlab.net/" rel="noreferrer" target="_blank">https://www.remlab.net/</a><br>
<br>
</div><div class="elided-text">______________________________<wbr>_________________<br>
vlc-devel mailing list<br>
To unsubscribe or modify your subscription options:<br>
<a href="https://mailman.videolan.org/listinfo/vlc-devel" rel="noreferrer" target="_blank">https://mailman.videolan.org/<wbr>listinfo/vlc-devel</a></div></blockquote></div><br></div></div></div>