В Microsoft DirectX найдена опасная «брешь»

  Корпорация Microsoft предупреждает о наличии опасной «дыры» в одном из компонентов программного интерфейса DirectX.

  Как сообщается в официальном уведомлении, проблема связана с модулем DirectShow, используемым для ввода/вывода аудио- и/или видеоданных.

  Вынудив жертву открыть сформированный специальным образом медиафайл в формате QuickTime, злоумышленник может получить несанкционированный доступ к удаленному компьютеру с привилегиями текущего пользователя.

  Таким образом, если владелец ПК вошел в систему в качестве администратора, нападающий сможет выполнить на машине произвольный программный код.

  Уязвимость обнаружена в операционных системах Windows 2000 с четвертым сервис-паком, Windows XP и Windows Server 2003. Платформы Windows Vista и Windows Server 2008, по предварительным данным, «дыры» не содержат.

  «Майкрософт» отмечает, что уже зарегистрированы случаи практической эксплуатации уязвимости — впрочем, они носят пока ограниченный характер.

  Компания занимается решением проблемы. Не исключено, что «заплатка» для уязвимости войдет в следующую порцию патчей, которая будет выпущена 9 июня.

  Добавлено 01.06.2009. Microsoft выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow.

  Уязвимые системы

  Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft Windows 2000, XP и 2003.
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент.

  На уязвимости не влияет наличие Apple QuickTime на системе.

  Возможные векторы атаки

  Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll.
Внимание, атака может быть произведена с помощью любого браузера, не только Internet explorer.

  Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью.

  Варианты защиты

  Microsoft рекомендует следующие временные решения:

  1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ:

  HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

  Это самое лучшее временное решение, т.к. оно позволяет полностью отключить обработку QuickTime файлов в DirectShow и не затрагивает другой функционал компонента.

  2. Установить Kill-bit для Windows Media Player ActiveX компонента.

  Это решение позволит защититься от вектора атаки, используемого злоумышленниками в настоящее время. Для этого, установите Kill-bit для следующего ключа:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400

  Преимущество этого варианта заключается в том, что вы сможете использовать Windows Media Player для просмотра QuickTime файлов через DirectShow. Недостаток – этот вариант защищает вас только от эксплуатации уязвимости через Internet Explorer. Другие векторы атаки, включая атаки через другие браузеры все еще возможны.

  3. Отключить библиотеку quartz.dll

  Для этого следует выполнить команду:

  Regsvr32.exe –u %WINDIR%\system32\quartz.dll

  Этот вариант может существенно повлиять на работу других приложений на системе.