Zero-Day-Leck in Microsoft Directshow

Sicherheitsspezialisten warnen vor einer bereits aktiv ausgenutzten Schwachstelle in Microsoft Directshow. Einen Patch gibt es bisher nicht.
7. Juli 2009

     

Die Security-Spezialisten McAfee und Finjan warnen vor einem Sicherheitsleck im Zusammenhang mit Microsofts Directshow-Technologie. Ein ActiveX-Control, das zur Wiedergabe von Videostreams dient, weist eine Schwachstelle auf: Der Nutzer kann per Remote-Code-Execution auf eine manipulierte Website gelockt werden. Betroffen sind die IE-Versionen 6 und 7 unter Windows XP. Diverse chinesische Websites würden das Leck bereits ausnutzen.


Es handelt sich bereits um die zweite Directshow-Lücke, die in den letzten Wochen entdeckt wurde. Ende Mai hatte Microsoft vor einem Fehler im Zusammenhang mit manipulierten Quicktime-Movies gewarnt, der noch nicht behoben wurde: Der Hersteller empfiehlt bloss den Workaround, die Quicktime-Wiedergabe einfach zu deaktivieren.


Inzwischen hat auch Microsoft selbst das Sicherheitsleck im ActiveX Video Control eingeräumt. Der Hersteller rät dazu, das Steuerelement zu deaktivieren - es werde nicht unbedingt benötigt. Eine Anleitung dazu findet sich in einem Knowledge-Base-Eintrag. Microsoft empfiehlt auch Anwendern von Windows Vista und Windows Server 2008, das Control zu deaktivieren, obwohl diese Systeme derzeit nicht vom Fehler betroffen sind. Ein Sicherheitspatch soll folgen.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER