# Форум на русском языке  > Новости  > Уязвимости  >  Microsoft DirectX - выполнение произвольного кода

## Shu_b

*Выполнение произвольного кода в Microsoft DirectX*
Microsoft DirectShow QuickTime Parsing Arbitrary Code Execution

*Программа:*
Microsoft DirectX 7.0
Microsoft DirectX 8.1
Microsoft DirectX 9.0c и более ранние версии

*Опасность: Критическая

Наличие эксплоита:* *Нет*

*Описание:*
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter в Microsoft DirectShow платформе (quartz.dll) при обработке QuickTime файлов. Удаленный пользователь может с помощью специально сформированного QuickTime файла выполнить произвольный код на целевой системе.

*Примечание:* уязвимость активно эксплуатируется в настоящее время.

*Решение:* Способов устранения уязвимости не существует в настоящее время.
*
Источники:* 
securitylab
    * Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (971778)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Microsoft выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow. Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter (quartz.dll) при обработке QuickTime файлов.
*Уязвимые системы*
Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft Windows 2000, XP и 2003. 
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент. 
На уязвимости не влияет наличие Apple QuickTime на системе.
*Возможные векторы атаки*
Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll. 
Внимание, атака может быть произведена с помощью любого браузера, не только Internet explorer. 
Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью.
*Варианты защиты*
Microsoft рекомендует следующие временные решения:
_1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ:_
HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
Эта самое лучшее временное решение, т.к. оно позволяет полностью отключить обработку QuickTime файлов в DirectShow и не затрагивает другой функционал компонента. 
_2. Установить Kill-bit для Windows Media Player ActiveX компонента._ 
Это решение позволит защититься от вектора атаки, используемого злоумышленниками в настоящее время. Для этого, установите Kill-bit для следующего ключа:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400 
Преимущество этого варианта заключается в том, что вы сможете использовать Windows Media Player для просмотра QuickTime файлов через DirectShow. Недостаток – этот вариант защищает вас только от эксплуатации уязвимости через Internet Explorer. Другие векторы атаки, включая атаки через другие браузеры все еще возможны.
_3. Отключить библиотеку quartz.dll_ 
Для этого следует выполнить команду:
Regsvr32.exe –u %WINDIR%\system32\quartz.dll 
Этот вариант может существенно повлиять на работу других приложений на системе

securitylab.ru

----------

