Microsoft DirectX - выполнение произвольного кода
[B]Выполнение произвольного кода в Microsoft DirectX[/B]
Microsoft DirectShow QuickTime Parsing Arbitrary Code Execution
[B]Программа:[/B]
Microsoft DirectX 7.0
Microsoft DirectX 8.1
Microsoft DirectX 9.0c и более ранние версии
[b]Опасность: [color=#CC0000]Критическая[/color]
Наличие эксплоита:[/b] [COLOR="Green"][B]Нет[/B][/COLOR]
[B]Описание:[/B]
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter в Microsoft DirectShow платформе (quartz.dll) при обработке QuickTime файлов. Удаленный пользователь может с помощью специально сформированного QuickTime файла выполнить произвольный код на целевой системе.
[B]Примечание:[/B] уязвимость активно эксплуатируется в настоящее время.
[B]Решение:[/B] Способов устранения уязвимости не существует в настоящее время.
[B]
Источники:[/B]
[URL="http://www.securitylab.ru/vulnerability/380517.php"]securitylab[/URL]
[URL="http://www.microsoft.com/technet/security/advisory/971778.mspx"] * Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (971778)[/URL]
Критическая уязвимость в Microsoft DirectX
[URL="http://www.securitylab.ru/news/tags/Microsoft/"]Microsoft[/URL] выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow. Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter (quartz.dll) при обработке QuickTime файлов.
[B]Уязвимые системы[/B]
Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft [URL="http://www.securitylab.ru/software/1263/"]Windows[/URL] 2000, XP и 2003.
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент.
На уязвимости не влияет наличие Apple QuickTime на системе.
[B]Возможные векторы атаки[/B]
Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll.
Внимание, атака может быть произведена с помощью любого браузера, не только [URL="http://www.securitylab.ru/software/266257.php"]Internet explorer[/URL].
Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью.
[B]Варианты защиты[/B]
Microsoft рекомендует следующие временные решения:
[I]1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ:[/I]
HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
Эта самое лучшее временное решение, т.к. оно позволяет полностью отключить обработку QuickTime файлов в DirectShow и не затрагивает другой функционал компонента.
[I]2. Установить Kill-bit для Windows Media Player ActiveX компонента. [/I]
Это решение позволит защититься от вектора атаки, используемого злоумышленниками в настоящее время. Для этого, установите Kill-bit для следующего ключа:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400
Преимущество этого варианта заключается в том, что вы сможете использовать Windows Media Player для просмотра QuickTime файлов через DirectShow. Недостаток – этот вариант защищает вас только от эксплуатации уязвимости через Internet Explorer. Другие векторы атаки, включая атаки через другие браузеры все еще возможны.
[I]3. Отключить библиотеку quartz.dll [/I]
Для этого следует выполнить команду:
Regsvr32.exe –u %WINDIR%\system32\quartz.dll
Этот вариант может существенно повлиять на работу других приложений на системе
[URL="http://www.securitylab.ru/news/380518.php"]securitylab.ru[/URL]
