Microsoft Patch Day
Media-Player-Lücke wird doch schon ausgenutzt
Eine Schwachstelle im Sprach-Codec des Windows Media Player ermöglicht das Einschleusen von Code mit Hilfe präparierter ASF-Dateien. Diese Sicherheitslücke wird bereits für Angriffe ausgenutzt, die Malware verbreiten.
In der ursprünglichen Fassung des Security Bulletins MS09-051 vom 13. Oktober hatte Microsoft angegeben, es seien keine Angriffe bekannt, die die Sicherheitslücke im Windows Media Speech Codec ausnutzen würden. Die deutsche Fassung des Security Bulletins enthält diese Angabe noch immer. Die maßgebliche englische Ausgabe hat Microsoft bereits kurz nach der Veröffentlichung korrigiert. Darin heißt es nunmehr, es sei eine begrenzte Zahl von Angriffen bekannt.
Die der Windows Media Runtime zugeordnete Schwachstelle steckt im Sprach-Codec des Windows Media Player (WMP). Angreifer können ASF-Dateien (Advanced Systems Format) so präparieren, dass sie den Sprach-Codec erfordern und eine Anfälligkeit ausnutzen, um Code einzuschleusen. Betroffen sind alle Windows-Versionen außer Windows 7 und Server 2008 R2. Bei Windows 2000 ist die Situation allerdings komplexer. Hier hängt es von diversen Faktoren ab, ob der anfällige Codec vorhanden ist.
Wie Chengyun Chu vom Microsoft-Sicherheitsteam (MSRC) im Blog Security Research & Defense erläutert, ist der anfällige Codec im WMP 6.4, der mit Windows 2000 ausgeliefert wird, nicht enthalten. Auch WMP 7.1, den man später installiert haben könnte, enthält ihn nicht - wohl aber WMP 9. Für WMP 9 hält das Security Bulletin ein Update bereit.
Ist jedoch bereits eine Audiodatei im Windows Media Player 6.4 oder 7.1 geöffnet worden, die diesen Codec erfordert und ist der automatische Codec-Download aktiviert, wurde der Codec herunter geladen und installiert. Damit ist das System anfällig. Sie können diesen Codec deregistrieren und dann löschen. Der Dateiname lautet "WMAVDS32.ax" (WMP 6.4) oder "WMSPDMOD.dll" (WMP 7.1) im Verzeichnis "Windows/system32". Bei Bedarf wird dann eine aktualisierte Version des Codecs herunter geladen, die nicht anfällig ist.
Zum Deregistrieren des anfälligen Sprach-Codec öffnen Sie eine Eingabeaufforderung und geben Sie einen dieser beiden Befehle ein:
Bei WMP 6.4: regsvr32 /u wmavds32.ax
Bei WMP 7.1: regsvr32 /u wmspdmod.dllLöschen Sie anschließend die jeweilige Datei.
Bei WMP 6.4: regsvr32 /u wmavds32.ax
Bei WMP 7.1: regsvr32 /u wmspdmod.dllLöschen Sie anschließend die jeweilige Datei.
