Windows媒体解压多个远程代码执行漏洞(MS10-033)

来源:岁月联盟 编辑:老鹰 时间:2010-06-11

影响版本:
Microsoft DirectX 9.0
Microsoft Media Format Runtime 9.5 x64
Microsoft Media Format Runtime 9.5
Microsoft Media Format Runtime 9
Microsoft Media Format Runtime 11
Microsoft Media Encoder 9 x86

漏洞描述:
BUGTRAQ  ID: 40464,40432
CVE ID: CVE-2010-1879,CVE-2010-1880

Windows是微软发布的非常流行的操作系统。

Windows中的多个多媒体处理组件在处理媒体文件时没有正确地解析其中的压缩数据,如果用户打开了特制的媒体文件,就可能允许远程代码执行。如果用户以管理权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。

<*参考
http://secunia.com/advisories/40058/
http://www.us-cert.gov/cas/techalerts/TA10-159B.html
http://www.microsoft.com/technet/security/bulletin/MS10-033.mspx?pf=true
*>

安全建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 在Microsoft Windows 2000、Windows XP和Windows Server 2003上禁止在Quartz.dll中解码MJPEG内容。
   
    1. 使用包含有以下命令的管理部署脚本创建注册表项的备份拷贝:
    regedit /e MJPEG_Decoder_Backup.reg HKEY_CLASSES_ROOTCLSID{301056D0-6DFF-11D2-9EEB-006008039E37}
   
    2. 以.REG扩展名保存以下内容,如Disable_MJPEG_Decoder.reg:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOTCLSID{301056D0-6DFF-11D2-9EEB-006008039E37}]
 
    3. 在目标机器上从提升的命令提示符通过以下命令运行上述注册表脚本:
    Regedit.exe /s Disable_MJPEG_Decoder.reg

* 修改wmvcore.dll的访问控制列表:
   
    在Windows XP的所有版本上,从命令提示符运行以下命令(需要管理权限):
   
    32位Windows:
    cacls <PATH_AND_FILENAME> /E /P everyone:N

    64位Windows:
    cacls <64BIT_PATH_AND_FILENAME> /E /P everyone:N

厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS10-033)以及相应补丁:
MS10-033:Vulnerabilities in Media Decompression Could Allow Remote Code Execution (979902)
链接:http://www.microsoft.com/technet/security/bulletin/MS10-033.mspx?pf=true