Die Security-Spezialisten McAfee und Finjan warnen vor einem Sicherheitsleck im Zusammenhang mit Microsofts Directshow-Technologie. Ein ActiveX-Control, das zur Wiedergabe von Videostreams dient, weist eine Schwachstelle auf: Der Nutzer kann per Remote-Code-Execution auf eine manipulierte Website gelockt werden. Betroffen sind die IE-Versionen 6 und 7 unter Windows XP. Diverse chinesische Websites würden das Leck bereits ausnutzen.
Es handelt sich bereits um die zweite Directshow-Lücke, die in den letzten Wochen entdeckt wurde. Ende Mai hatte Microsoft vor einem Fehler im Zusammenhang mit manipulierten Quicktime-Movies gewarnt, der noch nicht behoben wurde: Der Hersteller empfiehlt bloss den Workaround, die Quicktime-Wiedergabe einfach zu deaktivieren.
Inzwischen hat auch Microsoft selbst das Sicherheitsleck im ActiveX Video Control eingeräumt. Der Hersteller rät dazu, das Steuerelement zu deaktivieren - es werde nicht unbedingt benötigt. Eine Anleitung dazu findet sich in einem Knowledge-Base-Eintrag. Microsoft empfiehlt auch Anwendern von Windows Vista und Windows Server 2008, das Control zu deaktivieren, obwohl diese Systeme derzeit nicht vom Fehler betroffen sind. Ein Sicherheitspatch soll folgen.