Újabb hiba a DirectX-ben

Tegnap tette közzé figyelmeztetését a redmondi szoftverfejlesztő Video ActiveX Controljában levő hibáról. Security Response Center blogjában arról számolt be a Microsoft, hogy a támadó a megfelelő ismeretek birtokában átveheti a vezérlést a sérülékeny számítógép felett. Ehhez nem kell mást tennie, mint odacsalnia a gyanútlan internetezőt egy ártó szándékkal létrehozott weboldalra. A Windows XP-t és Windows Server 2003 operációs rendszereket érintő biztonsági rést már – igaz, limitáltan – kihasználják.

Ez a sebezhetőség már a második, DirectShow-val kapcsolatos, amiről Redmond az elmúlt hónapok során beszámolt. Májusban a DirectX Quicktime file-ok kezelésének módszeréről derült ki, hogy támadhatóvá teszi a számítógépeket. És ahogy a tavasz utolsó hónapjában ismertetett hibához, úgy a jelenlegihez sem született még javítás. Ez szerencsére nem jelenti azt, hogy semmit sem tehetünk: a Microsoft Fix It For Me cikkében olvasható instrukciókkal jelentősen mérsékelhető a biztonsági rés hatása. Arról azonban nincsen pontos információ, hogy mikor készül el a frissítés: Redmond szerint dolgoznak rajta, és amint eléri a megfelelő minőséget a patch, azt közzé fogják tenni.

Microsoft Video Control
Az ActiveX vezérlő teszi lehetővé a Microsoft DirectShow szűrők számára a videók lejátszását, felvételét és capturingjét (vagyis a mozgóképek „lelopását”). A vezérlő a Windows Media Centerben található fő komponens, amely a televíziós adások lejátszásáért és rögzítéséért felel.

A Symantec bejelentése szerint Kínában és Ázsia más részein bukkantak eddig olyan oldalakra, amik tartalmazzák a sebezhetőség kihasználását lehetővé tevő kódot. A sárga-fekete vállalat bejelentése szerint az Internet Explorer hatos és hetes változata van kitéve támadásnak, az IE8-at nem érinti az eset.