Microsoft kannte DirectShow-Lücke seit einem Jahr [Update]
Gegenüber US-Medien bestätigte Microsoft, dass die Schwachstelle bereits 2008 gemeldet wurde. Allerdings sei die Behebung des Problems nicht trivial, sodass es zusätzliche Zeit gekostet habe.
Offenbar wurde Microsoft bereits vor einem Jahr über die kürzlich öffentlich bekannt gewordene Lücke im DirectShow-Video-Control informiert. Derzeit nutzen nach Angaben mehrerer Antivirenhersteller bereits tausende präparierter Webseiten die Lücke aus, um PCs von Besuchern mit Malware zu infizieren.
Gegenüber US-Medien bestätigte Christopher Budd vom Microsoft Response Center, dass die Schwachstelle bereits 2008 an Microsoft von den Sicherheitspezialisten Ryan Smith und Alex Wheeler von IBMs X-Force gemeldet wurde. Man habe sofort mit Untersuchungen begonnen und sei zu dem Ergebnis gekommen, die beste Lösung sei, das betroffene ActiveX-Control aus dem Internet Explorer zu entfernen. Dies habe aber weitere Zeit in Anspruch genommen, um die Auswirkungen zu evaluieren.
Man arbeite nun weiter an einem Patch, den man bereitstellen wolle, wenn er den Qualitätskriterien für eine breite Verteilung genügt. Bis dahin stellen die Redmonder ein Fix-It-Tool bereit, mit dem Anwender auf einfache Weise das verwundbare Control beziehungsweise die Unterstützung dafür im System abschalten können. Betroffen sind nach bisherigen Analysen nur Anwender des Internet Explorer 6 und 7 unter Windows XP und Server 2003.
Vista-Anwender sowie Anwender des Internet Explorer 8 sind nicht verwundbar, obwohl Microsoft auch in diesen Fällen empfiehlt, sicherheitshalber das Fix-It-Tool zu benutzen. Einem Bericht von IBM X-Force zufolge soll Windows das Control nämlich auch beim Start von Office und WordPad laden können. Zudem gibt es laut IBM offenbar noch eine weitere Lücke im Control, die sich ebenfalls zum Einschleusen und Starten von Code ausnutzen lassen soll.
Aufgrund des Erscheinens eines Metasploit-Moduls zum Ausnutzen der Lücke ist damit zu rechnen, dass in Kürze weitere Webseiten präparierte MPEG2-Dateien enthalten. Windows-Anwender sollten das Fix-It-Tool herunterladen und ausführen.
[Update]Nach Angaben von Microsoft handelt es sich bei der nun ausgenutzten Lücke nicht um die 2008 gemeldet. Vielmehr seien es zwei unterschiedliche Lücken, die allerdings im selben Control zu finden seien. Anwender des Internet Explorer 8 sollen grundsätzlich ebenfalls verwundbar sein, weil es sich um kein Browser-spezifisches sondern ein Windows-spezifisches Control handele. [/Update]
Siehe dazu auch:
- Schnell-Fix von Microsoft für kritische DirectShow-Lücke
- Webseiten infizieren Windows-PCs über neue DirectShow-Lücke
- Multiple Microsoft Video Control ActiveX Remote Code Execution Vulnerabilities, Bericht von IBM X-Force
(dab)
