Критическая уязвимость в Microsoft DirectX

image

Теги: zero-day, уязвимость, Microsoft

Microsoft сообщила об активной эксплуатации уязвимости «нулевого дня» в Microsoft DirectShow.

Microsoft выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow. Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter (quartz.dll) при обработке QuickTime файлов.

Уязвимые системы

Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft Windows 2000, XP и 2003.
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент.

На уязвимости не влияет наличие Apple QuickTime на системе.

Возможные векторы атаки

Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll.
Внимание, атака может быть произведена с помощью любого браузера, не только Internet Explorer.

Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью.

Варианты защиты

Microsoft рекомендует следующие временные решения:

1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ:

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

Эта самое лучшее временное решение, т.к. оно позволяет полностью отключить обработку QuickTime файлов в DirectShow и не затрагивает другой функционал компонента.

2. Установить Kill-bit для Windows Media Player ActiveX компонента.

Это решение позволит защититься от вектора атаки, используемого злоумышленниками в настоящее время. Для этого, установите Kill-bit для следующего ключа:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400

Преимущество этого варианта заключается в том, что вы сможете использовать Windows Media Player для просмотра QuickTime файлов через DirectShow. Недостаток – этот вариант защищает вас только от эксплуатации уязвимости через Internet Explorer. Другие векторы атаки, включая атаки через другие браузеры все еще возможны.

3. Отключить библиотеку quartz.dll

Для этого следует выполнить команду:

Regsvr32.exe –u %WINDIR%\system32\quartz.dll

Этот вариант может существенно повлиять на работу других приложений на системе.

Следить за уязвимостью можно через уведомление по адресу:
http://www.securitylab.ru/vulnerability/380517.php


или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  7  
фетиш-мастер [Малиновые штаны]
29-05-2009 11:36:47
Для этого необходимо удалить ключ: HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A} ... установите Kill-bit для следующего ключа: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}] "Compatibility Flags"=dword:00000400 не млин. конфиги однозначно круче Для этого следует выполнить команду: Regsvr32.exe –u %WINDIR%\system32\quartz.dll о боже! консоль! это же так вульгарно! (с) секлаб
0 |
29-05-2009 11:40:15
Ужос!!! Как же так? В вантузе, где "все делается через графические утилиты" все проблемы решаются через консоль!!!
0 |
29-05-2009 12:09:06
Подскажите. Красноглазики - это те кто в никсах умеют напильником дотачивать систему, или те кто в винде по ночам заплатки ставит и реестр правит?
0 |
25889
29-05-2009 12:22:51
Картина Репина: домохозяйка тётя Клава колбасит в консоли и роется в реестре )
0 |
mic
29-05-2009 12:34:41
Картина Репина: домохозяйка тётя Клава колбасит в консоли и роется в реестре )Мне представляется другая картина, комп тети Клавы с вантузом рассылает ботнетом спам, а тетя Клава с озадаченым лицом не понимает, почему однокласники.ру открываются полчаса.
0 |
green
29-05-2009 15:34:11
И снизу экрана MS IE голые письки и надпись - "если хочешь убрать этот банер отправь смс..."
0 |
01-06-2009 11:44:19
Зато в Wine нет проблем с уязвмостями DirectX и виндовыми вирусами! Я на Wine воткнул веба 4.44 и порядок! Игры пашут, и ладно! Кстати, игры на Wine пашут быстрее, чем в винде - проверено на куче разных игр!
0 |
фетиш-мастер [Малиновые штаны]
02-06-2009 11:15:28
Зато в Wine нет проблем с уязвмостями DirectX и виндовыми вирусами!как это нет? все там с этим в порядке
0 |
08-06-2009 14:10:59
Не смеши меня! ---------------------------------------------
0 |
08-06-2009 14:11:46
В Wine вирусы активны до перезапуска иксов!
0 |
фетиш-мастер [Mалиновые штаны]
11-06-2009 14:09:43
Не смеши меня!http://bash.org.ru/quote/394204
0 |
Доктор
05-06-2009 21:26:45
Dominator - это диагноз. вон даже капча согласна - 87705 !
0 |
09-06-2009 11:15:49
А мне плевать! Я для десктопа Kubuntu 8.04 ни на что не променяю!
0 |
Stalien
02-06-2009 13:39:16
Домохозяек не бывает. Факт. Или баласт. Только лошара не умеет юзать токарный станок и готовить жратву!
0 |
30-05-2009 12:22:50
нет, это те что в он лайн игры всю ночь режутся а потом спят на уроках
0 |
29-05-2009 13:47:35
Дык, в вантузе вообще ВСЁ можно сделать через консоль. Про PowerShell можно и не говорить - для юниксойдов делался изначально.
0 |
Школьник
29-05-2009 14:25:27
Про PowerShell можно и не говорить - для юниксойдов делался изначально. Что за бред?))) А консоль перенесли чисто из-за фэнов МС-ДОС?))
0 |
12345
29-05-2009 16:17:53
Про PowerShell можно и не говорить - для юниксойдов делался изначально. корпорация майкрософт решила поработить юниксоедов?
0 |
29-05-2009 21:05:16
Про PowerShell можно и не говорить - для юниксойдов делался изначально. Он типа совместим с юниксовым шеллом?
0 |
unonymous
29-05-2009 21:12:10
Мимикрируется под раскрашенный xterm, толком же и половины unix-прог нет. капча согласна 06711
0 |
ы
30-05-2009 00:57:35
Дык, в вантузе вообще ВСЁ можно сделать через консоль.Захвати галактику через консоль.
0 |
имя
30-05-2009 10:47:53
файл найди через консоль в xp методом не через жопу ? с выводом полного пути заодно.
0 |
чих пых
31-05-2009 23:55:05
dir /b/s \ |find "file" _____________________________
0 |
01-06-2009 10:38:09
ты сам-то видел это pshик? это же ужос адовый всё, как обычно, через жопу
0 |
фетиш-мастер [Малиновые штаны]
01-06-2009 14:15:06
всё, как обычно, через жопувсе так необычно... - через жёпу...
0 |
Прохожий
01-06-2009 22:02:09
> В вантузе, где "все делается через графические утилиты" все проблемы решаются через консоль!!! лолшто?
0 |
31-05-2009 16:19:34
По неизвестной причине господа пишущие новости на секлабе не удосужились указать метод создания отката изменений в реестре, указанных в статье, который, несомненно, будет кому-то полезен: Использование интерактивных методов Для 32-битных систем Windows: 1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Regedit в поле "Открыть" и нажмите кнопку ОК. 2. Найдите следующий раздел реестра: HKEY_CLASSES_ROOT \ CLSID \ (D51BD5A0-7548-11CF-A520-0080C77EF58A) 3. В меню Файл выберите команду Экспорт. 4. В Экспорт файла реестра диалоговое окно, введите QuickTime_Parser_Backup.reg, и нажмите кнопку Сохранить. Примечание Это позволит создавать резервные копии этого реестра в папке "Мои документы" по умолчанию. 5. Нажмите кнопку Удалить на клавиатуре, чтобы удалить раздел реестра. Когда появится запрос, чтобы удалить раздел реестра с помощью Подтверждение удаления диалоговом окне нажмите кнопку "Да". Ну и, соответственно, для других версий windows всё расписано на странице http://en.securitylab.ru/notification/380516.php
0 |
29-05-2009 11:38:37
А почему не предлагают удалить DirectX?
0 |
фетиш-мастер [Малиновые штаны]
29-05-2009 12:25:40
А почему не предлагают удалить DirectX?а вы видели на что похожа виста без недо-3Д-аэро?
0 |
91815
29-05-2009 14:26:51
а вы видели на что похожа виста без недо-3Д-аэро?На win95 с измененной панелью задач?
0 |
Гость
29-05-2009 11:38:45
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонента так ли? под рукой висты нет, но насколько я помню, поддержка DX9.X в ней есть, а значит и уязвимый компонент тоже.
0 |
29-05-2009 11:41:18
Э-э-э-э... А разве в висла не 10 директ икс использует?
0 |
50792
29-05-2009 13:08:14
уебунтистам линупсятника откуда это ж знать. они с бубном только умеют над унолой поделкой плясать
0 |
mic
29-05-2009 13:36:45
они с бубном только умеют над унолой поделкой плясатьА у вендузятнегов, хоть пляши, хоть не пляши, а ботнет пополнишь.
0 |
!Who
29-05-2009 21:50:00
Это с каким бубном? Не с таким ли? http://thepr.livejournal.com/34192.html
0 |
29-05-2009 11:43:40
Повторюсь Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент DirectX есть, а QuickTime парсера, где собственно уязвимость, нету смотреть сюда: http://msdn.microsoft.com/en-us/library/dd377491(VS.85).aspx
0 |
фетиш-мастер [Малиновые штаны]
29-05-2009 12:34:07
че-т у мелкософта с мсдн-ом: "Время ожидания соединения истекло" хотя сайт нью-йорк-таймс и новости МИТ-а открываются без проблем
0 |
Школьник
29-05-2009 14:41:13
This component has been removed from Windows Vista and later operating systems. It is available for use in the Microsoft Windows 2000, Windows XP, and Windows Server 2003 operating systems. Вот собсно говоря по ссылке.
0 |
29-05-2009 12:18:04
>> 1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ: HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A} да, как там говорят? винось для домохозяек. Домохозйяки определённо знаю реестр и как что туда добавлять
0 |
12345
29-05-2009 16:24:48
как думаешь, сколько домохозяек уже зашло на секлаб и полезло реестр ковырять? домохозяйкам глубоко на***ть на то, что в каком-то там компоненте системы какая-то там уязвимость, также им глубоко на***ть на то, что их комп будет рассылать спам или ддосить сайты на линупсе. тут вроди сайт по ИБ, вот и информация для людей с соответствующим уровнем знаний, а не для домохозяек
0 |
Cool
29-05-2009 12:30:26
Почему не сказали что в Firefox можно отключить Windows Media Player plugin через tools->Addons?
0 |
12345
29-05-2009 16:26:15
почему не сказали, что в Firefox можно деинсталировать Firefox через Установку и удаление программ?
0 |
22296
29-05-2009 17:33:59
У вас очевидно жопера головного мозга
0 |
19596
29-05-2009 17:38:32
+1 ______________________________________
0 |
Страницы: 1  2  3  4  5  6  7