Abo
  • Services:

Schwere Sicherheitslücke in DirectX

MIDI-Dateien werden durch DirectShow zum Sicherheitsrisiko

Wie Microsoft in einem aktuellen Security Bulletin mitteilt, steckt in der DirectX-Komponente DirectShow ein Sicherheitsleck, das es einem Angreifer erlaubt, über eine präparierte MIDI-Datei beliebigen Programmcode auf einem fremden System auszuführen. Microsoft bewertet das Sicherheitsleck, das in zahlreichen DirectX-Versionen enthalten ist, als kritisch, schon weil DirectX Bestandteil etlicher Windows-Versionen ist.

Artikel veröffentlicht am ,

Mit der DirectX-Komponente DirectShow werden auf Client-Seite Audio- und Video-Daten bearbeitet oder wiedergegeben. Gleich zwei Buffer Overruns befinden sich in den Routinen zur Überprüfung der Parameter bei der Wiedergabe von MIDI-Dateien, worüber ein Angreifer beliebigen Programmcode auf einem fremden System mit den Rechten des angemeldeten Nutzers ausführen oder DirectShow zum Absturz bringen kann.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Köln, Hagen
  2. Ärztekammer Westfalen-Lippe, Münster

Da die Sicherheitslücke über eine MIDI-Datei ausgelöst wird, existieren zahlreiche Möglichkeiten für den Angreifer, ein Opfer dazu zu bringen, eine entsprechende Datei wiederzugeben. Bislang waren MIDI-Dateien nicht dafür bekannt, als Gefahr für einen Angriff aus dem Internet zu gelten. DirectShow wird bei der Wiedergabe vom Internet Explorer und Windows Media Player sowie anderen Windows-Applikationen genutzt.

Ein Angreifer kann eine präparierte MIDI-Datei auf eine Webseite oder ein Netzlaufwerk stellen, an eine E-Mail anhängen oder in eine HTML-Mail einfügen. Wenn die MIDI-Datei in eine Webseite eingebunden ist, reicht bereits der Besuch einer entsprechenden Webseite, damit der Angreifer zuschlagen kann. Im Falle der Verbreitung per HTML-Mail kann bereits die Vorschau einer entsprechenden HTML-Mail genügen, um Opfer dieser Sicherheitslücke zu werden.

Microsoft bietet Patches für die DirectX-Versionen ab der Version 5.2 bis zu 9.0a über ein Security Bulletin zum Download an. DirectX gehört bei etlichen Windows-Versionen zum Lieferumfang. Die installierte DirectX-Version findet man heraus, indem man über den Startmenü-Befehl "Ausführen" das Programm "dxdiag" startet. Auch für Windows NT 4.0 stehen passende Patches bereit. Zudem veröffentlichte Microsoft DirectX 9.0b, worin das Sicherheitsleck gleichfalls gestopft wurde.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€

Normalverdiener 25. Jul 2003

Ach weist du, ich wollte eigentlich eine objektive Diskussion. Ist aber anscheinend nicht...

mr_pr0pper 25. Jul 2003

ich hab ne dicke leitung hier , macht der gewohnheit ;)

Gizzmo 25. Jul 2003

Mist, hast uns ertappt. Wir sind alle nur Avatare und Chatbots... Ich persönlich basiere...

Keine Lust 24. Jul 2003

Ihr seit doch alle nicht echt!

Gizzmo 24. Jul 2003

Ach... ich hab auch schon Leute gesehen, die sich ihr Linux/UNIX ruckzuck zerschossen...


Folgen Sie uns
       


Asus ROG Phone - Hands On auf der Computex 2018

Das ROG ist ein interessantes Konzept, das sich schon beim an Gamer gerichteten Design von anderen Telefonen unterscheidet. Außergewöhnlich sind die vielen Zubehörteile: darunter ein Handheld-Adapter, ein Desktop-Dock, ein Anstecklüfter und ein Controllermodul. Wir haben es uns angeschaut.

Asus ROG Phone - Hands On auf der Computex 2018 Video aufrufen
Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  2. Battlefield 5 Schatzkisten und Systemanforderungen
  3. Battlefield 5 Zweiter Weltkrieg mit Sprengkraft

    •  /