Microsoft potvrdil útok proti Internet Exploreru

8. 7. 2009

Sdílet

Dosud neopravenou chybu v DirectX se podvodníci snaží zneužít k útokům na uživatele Internet Exploeru pomocí komponent ActiveX. Microsoft tuto skutečnost potvrdil a vydal oficiální varování.

O chybě jsme již psali například v článcích Útok proti chybě Windows v DirectX nabírá na síle a Útočníci zneužívají neopravenou chybu DirectX.

Vlastní chyba je v části DirectShow, která je součástí rozhraní DirectX. Ke zneužití stačí pouze navštívit stránku se škodlivým obsahem (což může být i nepozorovaně kompromitovaná stránka jinak důvěryhodné instituce), uživatel nemusí podnikat žádnou další akci.

Vlastní útok se realizuje pomocí komponent ActiveX a směřuje proti chybě v knihovně msvidctl.dll, která slouží pro přehrávání videa. Ty, které útočníci používají, by uživatelé měli zakázat v registru Windows. Microsoft nabízí nástroj spojený s průvodcem, který to zvládne automaticky (zde).

Ohroženi jsou uživatelé MSIE 6 a 7 na Windows XP a Windows Serveru 2003. Windows Vista a Server 2008 by probíhajícím útokem zranitelné být neměly.

Zajímavé je, že na česky psaných webech se objevila informace, že chyba se týká i Internet Exploreru 8, podle amerického Computerworldu jsou uživatelé nejnovějšího prohlížeče bezpeční. Program Secunia PSI hlásí u Internet Exploreru 8 méně závažnou dosud neopravenou chybu, kterou nelze přímo zneužití ke vzdálenému spuštění kódu. Zřejmě se ale jedná o jiný problém (cross-site scripting).

Příští pravidelnou várku oprav chystá Microsoft 14. července.

ICTS24

Oprava původního textu: chyba popisovaná v tomto článku, tedy Internet Explorer/ActiveX, je jiná než ta v rozhraní DirectX. Probíhají pokusy o zneužití obou zranitelností a příští úterý by obě měly být opraveny.