Microsoft DirectShow MPEG2TuneRequest组件溢出漏洞正在被积极利用

发布日期：2009-07-07

CVE ID：CVE-2008-0015

受影响的软件及系统：
====================
Microsoft Windows XP
Microsoft Windows 2003

综述：
======
微软系统的DirectShow MPEG2TuneRequest的视频组件（msvidctl.dll）处理文件时存在漏洞，此漏洞可以通过IE浏览器远程利用，如果用户访问了恶意网页就可能触发这个漏洞，导致在用户系统上执行任意指令，攻击者取得对用户系统的完全控制。此漏洞不同于已知的Microsoft DirectX QuickTime媒体文件解析代码执行漏洞（CVE-2009-1537），目前微软已就此漏洞发布了安全公告MS09-032并提供了补丁。

目前这个漏洞正在被攻击者广泛地用于挂马攻击。我们强烈建议用户暂时不要使用IE，改用Firefox、Opera等非IE核心的网络浏览器，或及时安装补丁以彻底消除漏洞的影响。

分析：
======
DirectShow MPEG2TuneRequest的视频组件在处理文件的读取时存在的栈溢出漏洞，攻击者可以通过恶意网页强制IE处理文件触发溢出，控制进程的执行流程从而在用户系统执行任意指令取得系统的控制权。

该漏洞是一个“0day”漏洞，被发现后通过地下漏洞黑市交易而扩散，进而被大量“挂马”攻击者所使用。

绿盟科技“冰之眼网络入侵保护系统”可以检测和防护针对该漏洞的攻击。

解决方法：
==========
* 对漏洞相关的控件设置Kill Bit，由于设计上这个控件并不配合IE使用，所以对此控件设置Kill Bit应该不会对系统造成太大影响。
      
对CLSID：0955AC62-BF2E-4CBA-A2B9-A63F772D46CF设置Kill Bit，或者将以下文本保存为.REG文件并双击导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

微软已经提供了一个工具来完成上述操作：
http://go.microsoft.com/?linkid=9672398

* 暂时不要使用IE浏览器，可以使用Opera或Firefox。

厂商状态：
==========
微软已经在安全公告MS09-032中修复了这一安全漏洞：
http://www.microsoft.com/china/technet/security/bulletin/MS09-032.mspx

附加信息：
==========
1. http://www.nsfocus.net/vulndb/13546
2. http://blog.duba.net/read.php/225.htm
3. http://www.microsoft.com/technet/security/advisory/972890.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS09-032.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技