Microsoft выпусціла бюлетэнь бяспекі для ўразлівасці «нулявога дня» у DirectShow. Уразлівасць існуе з-за памылкі ў QuickTime Movie Parser Filter (quartz.dll) пры апрацоўцы QuickTime файлаў.
Уразлівыя сістэмы
Уразлівасць існуе ў Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b і 9.0c на платформах Microsoft Windows 2000, XP і 2003.
Windows Vista, Windows Server 2008 і пазнейшыя версіі Windows не схільныя гэтай уразлівасці, бо на гэтых сістэмах адсутнічае ўразлівы кампанент.
На ўразлівасці не ўплывае наяўнасць Apple QuickTime на сістэме.
Магчымыя вектары нападу
Зламыснік можа з дапамогай Web сайта прымусіць браўзэр карыстача выкарыстаць убудова для прагляду адмыслова сфармаваных QuickTime файлаў, і такім чынам, атрымаць магчымасць эксплуатацыі ўразлівасці ў бібліятэцы quartz.dll.
Увага, напад можа быць вырабленая з дапамогай любога браўзэра, не толькі Internet explorer.
Таксама, зламыснік можа зманам прымусіць карыстача прайграць адмыслова сфармаваны файл у Windows Media Player і скарыстацца ўразлівасцю.
Варыянты абароны
Microsoft рэкамендуе наступныя часавыя рашэнні:
1. Адключыць апрацоўку QuickTime файлаў у quartz.dll. Для гэтага неабходна выдаліць ключ:
HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
Гэтая самае лепшае часавае рашэнне, т.к. яно дазваляе цалкам адключыць апрацоўку QuickTime файлаў у DirectShow і не закранае іншы функцыянал кампанента.
2. Усталяваць Kill-bit для Windows Media Player ActiveX кампанента.
Гэтае рашэнне дазволіць абараніцца ад вектару нападу, выкарыстоўванага зламыснікамі ў цяперашні час. Для гэтага, усталюеце Kill-bit для наступнага ключа:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400
Перавага гэтага варыянту складаецца ў тым, што вы зможаце выкарыстаць Windows Media Player для прагляду QuickTime файлаў праз DirectShow. Недахоп – гэты варыянт абараняе вас толькі ад эксплуатацыі ўразлівасці праз Internet Explorer. Іншыя вектары нападу, уключаючы напады праз іншыя браўзэры ўсё яшчэ магчымыя.
3. Адключыць бібліятэку quartz.dll
Для гэтага варта выканаць каманду:
Regsvr32.exe –u %WINDIR%system32quartz.dll
Гэты варыянт можа істотна паўплываць на працу іншых прыкладанняў на сістэме.
Сачыць за ўразлівасцю можна праз апавяшчэнне па адрасе:
http://www.securitylab.ru/vulnerability/380517.php