Jádro aktuálního problému je v DirectX a útočníci chybu zneužívají pomocí záměrně upraveného souboru ve formátu QuickTime. Ke zneužití a vzdálenému spuštění libovolného kódu stačí takový soubor otevřít – k čemuž obvykle zase stačí navštívit příslušnou webovou stránku. Situace tak ukazuje potřebnost webových štítů, které analyzují web v reálném čase předtím, než se uživateli vůbec načte.
V samotném přehrávači QuickTime problém není, ten vzniká až v parseru tohoto formátu v DirectShow, jedné z komponent rozhraní DirectX. V důsledku toho jsou zranitelné i všechny webové prohlížeče, které používají plug-iny s DirectShow.
Chyba se týká DirectX verzí 7, 8 a 9 ve Windows 2000, XP a Server 2003. Protože chyba se nevyskytuje ve Windows Vista, Windows Serveru 2008 a Windows 7 (při vývoji Visty byl podle Microsoftu kód obsahující chybu přepsán), poskytuje stávající situace další důkaz, že tyto systémy opravdu přinášejí vyšší zabezpečení. Microsoft tak díky chybě paradoxně získává argument, který by mohl zákazníky přesvědčit k upgradu ze stále oblíbených Windows XP.
Podrobnosti o chybě přináší Microsoft Security Advisory č. 971778 (zde). Záplata zatím není k dispozici, a tak pro ochranu nezbývá, než QucikTime zakázat. To lze udělat zásahem do registru Windows, Microsoft ale nabízí i způsob, jak tento postup automatizovat pomocí úpravy knihovny quartz.dll (postup viz MS Knowledge Base zde, kde je k dispozici i funkce Fix It).
Není jasné, kdy bude k dispozici skutečná záplata – nepokládá se za pravděpodobné, že by ji Microsoft stihl vyvinout a uvolnit už v rámci příští pravidelné várky oprav druhé červnové úterý (9. 6.).
Letos již postihly chyby typu zero day z produktů Microsoftu Excel a PowerPoint. Viz také články:
Útok proti kritické zranitelnosti Excelu
Útočníci se pokoušejí zneužít kritickou chybu v PowerPointu
V tuto chvíli jsou obě tyto zranitelnosti již opraveny.
PŘEDPLATNÉ
ČLÁNKY DO MAILU