Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

29. Mai 2009

Kritische Sicherheitslücken in Microsoft DirectShow

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und damit von DirectShow und der Tatsache, dass die Lücke schon aktiv ausgenützt wird, bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP, Windows Server 2003 und Windows 2000 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf einem Fehler in den Parsing Routinen von Quicktime. Dieser Exploit erlaubt es dem Angreifer, beliebigen Code beim client auszuführen. Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders stark. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003, Windows 2000. Vista ist nicht betroffen.

Abhilfe

Es gibt derzeit kein Update. Allerdings hilft ein quick fix. Microsoft empfiehlt, den Registry Key

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

zu löschen, um das Lesen von Quicktime Videos zu unterbinden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Durch diese Vorgehensweise kann die Zeitspanne zwischen der Verfügbarkeit und Installation eines Updates minimiert werden.

---

Informationsquelle(n):

Microsoft Security Advisory 971778 Blog Artikel
http://blogs.technet.com/msrc/archive/2009/05/28/microsoft-security-advisory-971778-vulnerability-in-microsoft-directshow-released.aspx
Microsoft Security Advisory 971778
http://www.microsoft.com/technet/security/advisory/971778.mspx