160060

Neue Sicherheitslücke in DirectX

29.05.2009 | 14:33 Uhr |

Microsoft warnt vor einer als kritisch eingestuften Schwachstelle in DirectShow, die mit präparierten Quicktime-Dateien ausgenutzt werden kann. Es gibt bereits Angriffe, die auf diese Sicherheitslücke zielen.

In der Grafikschnittstelle DirectX von Windows steckt eine Sicherheitslücke, über die sich Angreifer die volle Kontrolle über den angegriffenen Rechner verschaffen können. Ursache ist eine Anfälligkeit im "QuickTime Movie Parser Filter", der in DirectX bis Version 9 enthalten ist. Nach Angaben von Microsoft sind Windows Vista und Server 2008 nicht betroffen.

Microsoft hat die Sicherheitsmitteilung 971778 ("Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution") veröffentlicht. Darin ist von begrenzten Angriffen die Rede, die diese Sicherheitslücke ausnutzen. Anfällig ist die Programmbibliothek "quartz.dll", die in DirectX 7.0 bis einschließlich 9.0c enthalten ist. Demnach sind Windows 2000, XP und Server 2003 gefährdet, nicht jedoch Vista, Server 2008 oder Windows 7. In DirectX 10 (ab Vista) ist die anfällige Quicktime-Funktionalität nicht mehr enthalten.

Das Angriffsszenario besteht aus einer Web-Seite, die eine speziell präparierte Quicktime-Datei enthält. Der Angreifer muss seine Opfer auf diese Seite locken, etwa durch einen Link via Mail, Instant Messenger oder in einem Forum. Um die präparierte Quicktime-Datei zu laden, ist die weitere Mithilfe des Benutzers nötig. Der Angreifer erhält im Erfolgsfall die gleichen Zugriffsrechte wie der angemeldete Benutzer. Ist dieser mit Administratorrechten angemeldet (das ist Standard bei XP), kann der Angreifer die volle Kontrolle über das System erlangen.

Da es sich nicht um eine ActiveX-Komponente handelt, spielt es prinzipiell keine Rolle, welchen Web-Browser der Benutzer verwendet. Auch wenn Apple Quicktime installiert ist und normalerweise für Quicktime-Medien benutzt wird, schützt dies nicht unbedingt vor einem Angriff.

Microsoft empfiehlt zum Schutz des Rechners die Entfernung des Registry-Schlüssels
HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
Bei 64-Bit-Systemen sollten Sie zusätzlich diesen Schlüssel löschen:
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
Vor dem Löschen sollten diese Schlüssel vorsichtshalber jeweils in eine REG-Datei exportiert werden. Dann kann die Änderung bei Bedarf rückgängig gemacht werden.

Alternativ können Sie die anfällige Programmbibliothek quartz.dll deregistrieren. Öffnen Sie dazu ein Befehlsfenster (Eingabeaufforderung) oder den Dialog START / Ausführen... und geben Sie den folgenden Befehl ein:
Regsvr32.exe –u %WINDIR%\system32\quartz.dll
Nur bei einem 64-Bit-Windows geben Sie danach zusätzlich diesen Befehl ein:
Regsvr32.exe –u %WINDIR%\system64\quartz.dll

Microsoft hat außerdem im KB-Artikel 971778 (maschinelle Übersetzung) einen "Fix-it"-Button bereit gestellt, der die Änderung automatisch ausführen soll. Wer diese Schaltfläche anklickt, erhält eine Datei namens "EnableAdvisory971778.msi". Dieses Archiv für den Microsoft Installer kann durch Doppelklick geöffnet werden. Ebenfalls erhältlich ist eine Datei "DisableAdvisory971778.msi", die diese Änderung am System wieder rückgängig machen soll. Beide Dateien sind etwa 113 KB groß.

Der Nachteil aller genannten Lösungen ist, dass der Windows Media Player damit auch nicht mehr in der Lage ist WAV- und AVI-Dateien abzuspielen.

Microsoft hat ferner angekündigt nach Abschluss der Untersuchungen und ausgiebiger Qualitätssicherung ein Sicherheits-Update bereit stellen zu wollen. Ob dieses Update beim nächsten Patch Day am 9. Juni oder womöglich noch vorher zur Verfügung gestellt wird, bleibt abzuwarten. Eventuell dauert es jedoch auch länger.

0 Kommentare zu diesem Artikel
160060