hundzerberus
29-05-2009, 08:21
Microsoft warnt vor kritischem DirectShow-Fehler
Microsoft hat in der DirectX-Bibiliothek zum Abspielen von Quicktime-Videos einen kritischer Fehler entdeckt, der offenbar jetzt auch aktiv ausgenutzt wird. Jedenfalls warnt[1] der Software-Riese vor dem Problem mit einer Sicherheitsnotiz, die bereits recht konkrete Informationen enthält.
So wurde in Windows Vista und Server 2008 der betroffene Filter in DirectShow offenbar entfernt, sodass nur ältere Plattformen wie Windows XP anfällig sind. Dort kann allerdings ein Angreifer die Lücke offenbar auch dann auslösen, wenn sein Opfer statt des Internet Explorer einen alternativen Browser einsetzt, da dessen Multimedia-Erweiterungen ebenfalls auf die DirectX-Funktionen des Betreibssystems zurückgreifen. Auch die Installation des Quicktime-Pakets von Apple bringt keine Abhilfe. Der Fehler lässt sich durch spezielle Web-Seiten, aber auch direkt durch Dateien, die beispielsweise dem Media-Player zugeordnet sind, auslösen.
In einem Blog-Eintrag[2] empfehlen Microsofts Sicherheitsexperten als einfachste und sicherste Lösung, den Registry-Key
HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
wie in der Sicherheitsnotiz beschrieben zu löschen. Das verhindert das Parsen von Quicktime in der anfälligen Bibliothek Quartz.dll. Alternativ hat Microsoft auch eine Web-Seite erstellt, die System immunisieren soll. Diese Fix-it-Seite[3] ist derzeit jedoch für Wartungsarbeiten außer Betrieb.
Außergewöhnlich deutlich formuliert Microsoft das weitere Vorgehen: Man arbeite bereits an einem Patch und werde diesen veröffentlichen, sobald er eine ausreichende Qualität erreicht habe. Ob das heißt, dass dies auch vor dem nächsten Patchday am 9. Juni geschehe, bleibt jedoch Spekulation.
Siehe dazu auch:.
Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution[4], Microsoft Security Advisory (971778)
Hilfeseite[5], derzeit in maschineller Übersetzung
englische Hilfeseite[6] von Microsoft
(ju[7]/c't)
--------------------------------------------------------------------------------
URL dieses Artikels:
heise online - 29.05.09 - Microsoft warnt vor kritischem DirectShow-Fehler (http://www.heise.de/newsticker/meldung/139576)
Links in diesem Artikel:
[1] The Microsoft Security Response Center (MSRC) : Microsoft Security Advisory 971778 Vulnerability in Microsoft DirectShow Released (http://blogs.technet.com/msrc/archive/2009/05/28/microsoft-security-advisory-971778-vulnerability-in-microsoft-directshow-released.aspx)
[2] Security Research & Defense : New vulnerability in quartz.dll Quicktime parsing (http://blogs.technet.com/srd/archive/2009/05/28/new-vulnerability-in-quicktime-parsing.aspx)
[3] This Fix it is undergoing maintenance (http://support.microsoft.com/gp/cp_fixit_maintenance)
[4] Microsoft Security Advisory (971778): Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (http://www.microsoft.com/technet/security/advisory/971778.mspx)
[5] Microsoft Security Advisory: Vulnerability in Microsoft DirectShow could allow remote code execution (http://support.microsoft.com/kb/971778)
[6] Microsoft Security Advisory: Vulnerability in Microsoft DirectShow could allow remote code execution (http://support.microsoft.com/kb/971778/en-us/)
[7] mailto:ju@ct.heise.de (ju@ct.heise.de)
---------------------------
---------------------------
Alternativ die folgenden Zeilen in einer Datei mit der Endung
.reg (z.B. quartz-aus.reg) speichern und diese dann doppelklicken.
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}\Inpr
ocServer32]
[-HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}]
; "dirty" Sicherheitskopie.
[HKEY_CLASSES_ROOT\CLSID.disabled\{D51BD5A0-7548-11CF-A520-0080C77EF5
8A}]
@="QuickTime Movie Parser"
[HKEY_CLASSES_ROOT\CLSID.disabled\{D51BD5A0-7548-11CF-A520-0080C77EF5
8A}\InprocServer32]
@="C:\\WINDOWS\\system32\\quartz.dll"
"ThreadingModel"="Both"
Microsoft hat in der DirectX-Bibiliothek zum Abspielen von Quicktime-Videos einen kritischer Fehler entdeckt, der offenbar jetzt auch aktiv ausgenutzt wird. Jedenfalls warnt[1] der Software-Riese vor dem Problem mit einer Sicherheitsnotiz, die bereits recht konkrete Informationen enthält.
So wurde in Windows Vista und Server 2008 der betroffene Filter in DirectShow offenbar entfernt, sodass nur ältere Plattformen wie Windows XP anfällig sind. Dort kann allerdings ein Angreifer die Lücke offenbar auch dann auslösen, wenn sein Opfer statt des Internet Explorer einen alternativen Browser einsetzt, da dessen Multimedia-Erweiterungen ebenfalls auf die DirectX-Funktionen des Betreibssystems zurückgreifen. Auch die Installation des Quicktime-Pakets von Apple bringt keine Abhilfe. Der Fehler lässt sich durch spezielle Web-Seiten, aber auch direkt durch Dateien, die beispielsweise dem Media-Player zugeordnet sind, auslösen.
In einem Blog-Eintrag[2] empfehlen Microsofts Sicherheitsexperten als einfachste und sicherste Lösung, den Registry-Key
HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
wie in der Sicherheitsnotiz beschrieben zu löschen. Das verhindert das Parsen von Quicktime in der anfälligen Bibliothek Quartz.dll. Alternativ hat Microsoft auch eine Web-Seite erstellt, die System immunisieren soll. Diese Fix-it-Seite[3] ist derzeit jedoch für Wartungsarbeiten außer Betrieb.
Außergewöhnlich deutlich formuliert Microsoft das weitere Vorgehen: Man arbeite bereits an einem Patch und werde diesen veröffentlichen, sobald er eine ausreichende Qualität erreicht habe. Ob das heißt, dass dies auch vor dem nächsten Patchday am 9. Juni geschehe, bleibt jedoch Spekulation.
Siehe dazu auch:.
Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution[4], Microsoft Security Advisory (971778)
Hilfeseite[5], derzeit in maschineller Übersetzung
englische Hilfeseite[6] von Microsoft
(ju[7]/c't)
--------------------------------------------------------------------------------
URL dieses Artikels:
heise online - 29.05.09 - Microsoft warnt vor kritischem DirectShow-Fehler (http://www.heise.de/newsticker/meldung/139576)
Links in diesem Artikel:
[1] The Microsoft Security Response Center (MSRC) : Microsoft Security Advisory 971778 Vulnerability in Microsoft DirectShow Released (http://blogs.technet.com/msrc/archive/2009/05/28/microsoft-security-advisory-971778-vulnerability-in-microsoft-directshow-released.aspx)
[2] Security Research & Defense : New vulnerability in quartz.dll Quicktime parsing (http://blogs.technet.com/srd/archive/2009/05/28/new-vulnerability-in-quicktime-parsing.aspx)
[3] This Fix it is undergoing maintenance (http://support.microsoft.com/gp/cp_fixit_maintenance)
[4] Microsoft Security Advisory (971778): Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (http://www.microsoft.com/technet/security/advisory/971778.mspx)
[5] Microsoft Security Advisory: Vulnerability in Microsoft DirectShow could allow remote code execution (http://support.microsoft.com/kb/971778)
[6] Microsoft Security Advisory: Vulnerability in Microsoft DirectShow could allow remote code execution (http://support.microsoft.com/kb/971778/en-us/)
[7] mailto:ju@ct.heise.de (ju@ct.heise.de)
---------------------------
---------------------------
Alternativ die folgenden Zeilen in einer Datei mit der Endung
.reg (z.B. quartz-aus.reg) speichern und diese dann doppelklicken.
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}\Inpr
ocServer32]
[-HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}]
; "dirty" Sicherheitskopie.
[HKEY_CLASSES_ROOT\CLSID.disabled\{D51BD5A0-7548-11CF-A520-0080C77EF5
8A}]
@="QuickTime Movie Parser"
[HKEY_CLASSES_ROOT\CLSID.disabled\{D51BD5A0-7548-11CF-A520-0080C77EF5
8A}\InprocServer32]
@="C:\\WINDOWS\\system32\\quartz.dll"
"ThreadingModel"="Both"