O chybě jsme již psali například v článcích Útok proti chybě Windows v DirectX nabírá na síle a Útočníci zneužívají neopravenou chybu DirectX.
Vlastní chyba je v části DirectShow, která je součástí rozhraní DirectX. Ke zneužití stačí pouze navštívit stránku se škodlivým obsahem (což může být i nepozorovaně kompromitovaná stránka jinak důvěryhodné instituce), uživatel nemusí podnikat žádnou další akci.
Vlastní útok se realizuje pomocí komponent ActiveX a směřuje proti chybě v knihovně msvidctl.dll, která slouží pro přehrávání videa. Ty, které útočníci používají, by uživatelé měli zakázat v registru Windows. Microsoft nabízí nástroj spojený s průvodcem, který to zvládne automaticky (zde).
Ohroženi jsou uživatelé MSIE 6 a 7 na Windows XP a Windows Serveru 2003. Windows Vista a Server 2008 by probíhajícím útokem zranitelné být neměly.
Zajímavé je, že na česky psaných webech se objevila informace, že chyba se týká i Internet Exploreru 8, podle amerického Computerworldu jsou uživatelé nejnovějšího prohlížeče bezpeční. Program Secunia PSI hlásí u Internet Exploreru 8 méně závažnou dosud neopravenou chybu, kterou nelze přímo zneužití ke vzdálenému spuštění kódu. Zřejmě se ale jedná o jiný problém (cross-site scripting).
Příští pravidelnou várku oprav chystá Microsoft 14. července.
Oprava původního textu: chyba popisovaná v tomto článku, tedy Internet Explorer/ActiveX, je jiná než ta v rozhraní DirectX. Probíhají pokusy o zneužití obou zranitelností a příští úterý by obě měly být opraveny.
PŘEDPLATNÉ
ČLÁNKY DO MAILU