Kritikus hiba a DirectX-ben

A DirectX alacsonyszintű API-k (Application Programming Interface) gyűjteménye, melyet a Windows a multimédiás feladatok támogatása végett használ. Ezen belül a DirectShow hajtja végre a kliensoldali audió és videó jelfolyamok létrehozását, manipulációját és renderelését.

Rendelkezik azonban két puffertúlcsordulás lehetőséggel is: a DirectShow a Musical Instrument Digital Interface, azaz a MIDI állományok paramétereinek ellenőrzését érinti az eset. Ennek kihasználásával az ártó szándékú behatoló képes a felhasználó biztonsági szintjének megfelelő prioritással futtatni kódot a célrendszeren.

Egy speciálisan megformázott MIDI állománnyal használható ki a hiba. Ezt el kell juttatni a célpont rendszert használóhoz e-mailen, vagy egy website-ra is fel lehet tenni – ez esetben csak rá kell venni az internetezőt, hogy látogassa meg az oldalt, illetve hogy nyissa meg az állományt (ha be van ágyazva a kódba, akkor ez utóbbira nincs is szükség, automatikusan lezajlik a hiba-kihasználási folyamat).

Érintett rendszerek

– Microsoft DirectX 5.2 Windows 98-on
– Microsoft DirectX 6.1 Windows 98 SE-n
– Microsoft DirectX 7.0a Windows Millennium Editionön
– Microsoft DirectX 7.0 Windows 2000-en
– Microsoft DirectX 8.1 Windows XP-n
– Microsoft DirectX 8.1 Windows Server 2003-on
– Microsoft DirectX 9.0a Windows Millennium Edition, 2000, XP, Server 2003 telepítése esetén
– Microsoft Windows NT 4.0-on, ha vagy a Media Player 6.4 vagy az Internet Explorer 6 Service Pack 1 telepítve van
– Microsoft Windows NT 4.0 Terminal Server Editionön-on, ha vagy a Media Player 6.4 vagy az Internet Explorer 6 Service Pack 1 telepítve van

A Windows NT4/2k/XP felhasználók patch segítségével elháríthatják a hibát, a Windows 98/ME felhasználóknak szükséges a DirectX 9.0b-re továbbfejleszteni.