Montag, 6. Juli 2009
Sicherheitswarnung! Weitere Sicherheitslücke in DirectX (DirectShow / msvidctl.dll) ermöglicht das Ausführen beliebigen Schadcodes
Erneut ist eine weitere Sicherheitslücke in einer DirectX/DirectShow-Kompontente aufgetaucht:
Dieses Mal handelt es sich um die msvidctl.dll und die damit verbundenen ActiveX-Controls, z.B. "BDA Tuning Model MPEG2 Tune Request" mit der CLSID {0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}, das zum Streamen bestimmter Videos im Internet Explorer verwendet werden kann. Beim Besuch einer entsprechend präparierten Website lässt sich anscheinend beliebiger Schadcode mit den Rechten des gerade auf dem System angemeldeten Windows-Benutzers ausführen, je nach IE- und Windows-Version mit mehr (IE8) oder weniger (IE6, IE7) aktiver Unterstützung des Anwenders. Siehe auch McAfees "Avert Labs Blog".
[Finales Update 14.07.2009]
Diese Sicherheitslücke wurde am 14.07.2009 durch das kumulative Sicherheitsupdate KB973346 (MS09-032) geschlossen, das ebenfalls das Killbit für die beschriebenen ActiveX-Controls bzw. CLSID setzt.
[/Update]
Dieses Mal handelt es sich um die msvidctl.dll und die damit verbundenen ActiveX-Controls, z.B. "BDA Tuning Model MPEG2 Tune Request" mit der CLSID {0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}, das zum Streamen bestimmter Videos im Internet Explorer verwendet werden kann. Beim Besuch einer entsprechend präparierten Website lässt sich anscheinend beliebiger Schadcode mit den Rechten des gerade auf dem System angemeldeten Windows-Benutzers ausführen, je nach IE- und Windows-Version mit mehr (IE8) oder weniger (IE6, IE7) aktiver Unterstützung des Anwenders. Siehe auch McAfees "Avert Labs Blog".
[Finales Update 14.07.2009]
Diese Sicherheitslücke wurde am 14.07.2009 durch das kumulative Sicherheitsupdate KB973346 (MS09-032) geschlossen, das ebenfalls das Killbit für die beschriebenen ActiveX-Controls bzw. CLSID setzt.
[/Update]
[Update] Microsoft bestätigt das Problem zwischenzeitlich im Security Advisory 972890 (deutschsprachige Sicherheitsempfehlung) und spricht allgemein von einer Sicherheitslücke in einem "Microsoft Video ActiveX-Control", zu dem eine ganze Reihe von (45!) CLSID gehören.
Mittlerweile kündigte Microsoft über einen Eintrag im MSRC-Blog an, das zugehörige Sicherheitsupdate am kommenden Patchday, also am 14. Juli 2009 (ca. 19 Uhr MESZ), veröffentlichen zu wollen. In einem weiteren Eintrag versucht sich Microsoft dafür zu rechtfertigen, dass die Untersuchung der im Frühjahr 2008(!) an Microsoft gemeldete Sicherheitslücke über ein Jahr gedauert hat und eine Mitteilung an die Öffentlichkeit in Form des Advisorys 927890 erst erfolgte, nach dem bekannt wurde, dass die Sicherheitslücke bereits ausgenutzt wird.
Abhilfe bis zur Veröffentlichung eines Sicherheitsupdates:
Im zum Security Advisory gehörenden MSKB-Artikel KB972890, stellt Microsoft zwei "Fix it"-Lösungen bereit, welche für alle betroffenen ActiveX-Controls bzw. CLSIDs das Killbit nach dem Herunterladen und Ausführen automatisch setzt (= "Enable Workaround") bzw. wieder aufhebt (= "Disable Workaround"). Alternativ kann auch die Advisory972890.zip von dieser Site heruntergeladen werden. Die (nach dem Auspacken/Öffnen der ZIP-Datei zum Vorschein kommende) "enableAdvisory972890.reg" setzt, nach einem Doppelklick und dem Import in die Registry, für alle zugehörigen 45 CLSID das Killbit.
Auch im zugehörigen Artikel des MSRC-Blog schreibt Microsoft davon, dass die internen Untersuchungen zum Sicherheitsproblem ergeben hätten, dass es keinerlei praktische bzw. sinnvolle Anwendungen für die zur msvidctl.dll gehörenden ActiveX-Controls im Internet Explorer geben soll. Demnach sollte auch das Setzen (lassen) des Killbits mithilfe einer der o.g. Lösungen ("Fix it" oder "Advisory927890.zip") für alle 45 ActiveX-Controls/CLSID theoretisch keine unerwünschten Nebenwirkungen haben, mögliche weitere Einfalltore aber präventiv schließen.[/Update]
Ferner ist es auch aus grundsätzlichen Erwägungen wieder und noch immer dringend angezeigt, unter Windows nicht mit Adminrechten zu arbeiten und insbesondere online zu gehen, sondern stattdessen ein Benutzerkonto mit eingeschränkten Rechten zu verwenden! Dies reduziert im Allgemeinen die Auswirkungen von potenziellen oder bestehenden Sicherheitslücken.
Mittlerweile kündigte Microsoft über einen Eintrag im MSRC-Blog an, das zugehörige Sicherheitsupdate am kommenden Patchday, also am 14. Juli 2009 (ca. 19 Uhr MESZ), veröffentlichen zu wollen. In einem weiteren Eintrag versucht sich Microsoft dafür zu rechtfertigen, dass die Untersuchung der im Frühjahr 2008(!) an Microsoft gemeldete Sicherheitslücke über ein Jahr gedauert hat und eine Mitteilung an die Öffentlichkeit in Form des Advisorys 927890 erst erfolgte, nach dem bekannt wurde, dass die Sicherheitslücke bereits ausgenutzt wird.
Abhilfe bis zur Veröffentlichung eines Sicherheitsupdates:
Im zum Security Advisory gehörenden MSKB-Artikel KB972890, stellt Microsoft zwei "Fix it"-Lösungen bereit, welche für alle betroffenen ActiveX-Controls bzw. CLSIDs das Killbit nach dem Herunterladen und Ausführen automatisch setzt (= "Enable Workaround") bzw. wieder aufhebt (= "Disable Workaround"). Alternativ kann auch die Advisory972890.zip von dieser Site heruntergeladen werden. Die (nach dem Auspacken/Öffnen der ZIP-Datei zum Vorschein kommende) "enableAdvisory972890.reg" setzt, nach einem Doppelklick und dem Import in die Registry, für alle zugehörigen 45 CLSID das Killbit.
Auch im zugehörigen Artikel des MSRC-Blog schreibt Microsoft davon, dass die internen Untersuchungen zum Sicherheitsproblem ergeben hätten, dass es keinerlei praktische bzw. sinnvolle Anwendungen für die zur msvidctl.dll gehörenden ActiveX-Controls im Internet Explorer geben soll. Demnach sollte auch das Setzen (lassen) des Killbits mithilfe einer der o.g. Lösungen ("Fix it" oder "Advisory927890.zip") für alle 45 ActiveX-Controls/CLSID theoretisch keine unerwünschten Nebenwirkungen haben, mögliche weitere Einfalltore aber präventiv schließen.[/Update]
Ferner ist es auch aus grundsätzlichen Erwägungen wieder und noch immer dringend angezeigt, unter Windows nicht mit Adminrechten zu arbeiten und insbesondere online zu gehen, sondern stattdessen ein Benutzerkonto mit eingeschränkten Rechten zu verwenden! Dies reduziert im Allgemeinen die Auswirkungen von potenziellen oder bestehenden Sicherheitslücken.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hallo...
Rückgängig kann man das dann per regsvr32 msvidctl.dll unter Ausführen, wenn ein Sicherheitsupdate dann vorliegt ?
So wie bei:
http://patch-info.de/artikel/2009/05/29/640
Danke und Gruß
Andreas
Rückgängig kann man das dann per regsvr32 msvidctl.dll unter Ausführen, wenn ein Sicherheitsupdate dann vorliegt ?
So wie bei:
http://patch-info.de/artikel/2009/05/29/640
Danke und Gruß
Andreas
#1
am
06.07.2009 20:39
Moin Andreas,
siehe den weitgehend überarbeiten Artikel ("[Update]") und die beiden "Fix it"-Lösungen/Workarounds. Da keine Registry-Schlüssel gelöscht, sondern "lediglich" Killbits gesetzt werden, genügt ein regsvr32 alleine nicht. Aber dies ist wahrscheinlich auch gar nicht notwendig. Bleibt die Frage, weshalb das ActiveX-Control dann überhaupt noch aktiviert ist.
Bye,
Freudi
siehe den weitgehend überarbeiten Artikel ("[Update]") und die beiden "Fix it"-Lösungen/Workarounds. Da keine Registry-Schlüssel gelöscht, sondern "lediglich" Killbits gesetzt werden, genügt ein regsvr32 alleine nicht. Aber dies ist wahrscheinlich auch gar nicht notwendig. Bleibt die Frage, weshalb das ActiveX-Control dann überhaupt noch aktiviert ist.
Bye,
Freudi
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Sicherheitsupdate, das Lücken in verschiedenen ActiveX-Controls schließen soll, über die ein Angreifer in ein Windows-System eindringen und die Steuerung des Systems [...]
Aufgenommen: 14.07.2009 18:40