Webseiten infizieren Windows-PCs über neue DirectShow-Lücke
Der Fehler steckt in einem ActiveX-Control zum Streamen von Videos im Internet Explorer. Präparierte Befehle provozieren einen Buffer Overflow, durch den sich Code einschleusen und ausführen lässt.
Eine neue, ungepatchte Sicherheitslücke in DirectShow wird Berichten zufolge bereits aktiv für Infektionen von Windows-PCs ausgenutzt. Dazu genügt der Besuch einer manipulierten Webseite. Der Fehler steckt im ActiveX-Control msVidCtl zum Streamen von Videos im Internet Explorer. Präparierte MPEG2TuneRequest-Objekte provozieren einen Buffer Overflow, durch den sich Code einschleusen und ausführen lässt. Der Exploit-Code kursiert auch bereits öffentlich auf diversen chinesischen Webseiten.
Betroffen sind Windows 2000, XP und Server 2003. Schutz vor Angriffen bietet derzeit nur, das Kill-Bit für das verwundbare Control zu setzen und damit das Laden im Internet Explorer zu verhindern. Eine Anleitung zum Setzen von Kill-Bits ist hier zu finden: So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer. Die CLSID des Controls lautet {0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}.
Von Microsoft stehen bislang noch keine Informationen zu dem Problem bereit. Bei der letzten Sicherheitslücke in DirectShow Ende Mai stellten die Redmonder bis zur Verfügbarkeit eines Patches eine Interims-Lösung bereit, bei der sich das Kill-Bit über ein einfaches Tool (Fix It) löschen und setzen ließ.
Bei den präparierten Webseiten handelt es sich nach Angaben vom McAfee im Wesentlichen um harmlose Webseiten, die von Kriminellen gehackt wurden.
Siehe dazu auch:
- 0-dags drive-by i praksis, Beschreibung des Exploits
- Microsoft warnt vor kritischem DirectShow-Fehler
(dab)
