微软视频组件曝零日漏洞(图)

来源:岁月联盟 编辑:zhuzhu 时间:2010-02-13
微软视频组件曝零日漏洞(图) 一款被称为“微软视频0day漏洞”的新型安全漏洞在7月的第一个周末突然爆发。该漏洞在爆发的短时间内就被安全利用进行网页挂马传播病毒。截至目前,众多知名网站已经被挂马。

  据悉,该漏洞是微软Windows操作系统 BDA Tuning Model MPEG2 Tune Request视频组件的一个0Day漏洞,当用户点击相应“挂马网页”时,恶意代码就会自动触发以上MPEG2视频组件的msvidctl.dll模块,相应地IE等浏览器会表现为卡死一小会儿,随后,电脑就会自动下载和运行一系列安全预先设置好的安全程序,期间会出现恶意代码会强制关闭有大部分安全软件、劫持IE首页、弹出广告页面等各种现象。

  据石晓虹博士介绍,该漏洞与今年5月下旬360安全中心率先发现的微软“DirectShow视频开发包”0day漏洞相似,都是通过浏览器来触发的漏洞。但不同的是,这个MPEG-2 0Day漏洞要容易利用得多,而且安全不再需要网民运行任何恶意视频文件就能使其电脑变为任由安全摆布的“安全”。这种安全方式更为隐蔽,普通用户更难防范,因而会更容易受到安全产业链等不法分子的青睐。另外,从目前测试的结果来看,由于VISTA、Windows2008以及WIN7使用了SAFESEH/GSCOOKIE技术,该0Day漏洞主要影响的是用户量最大的Windows XP系统。

  图片说明:红星美凯龙官网被植入针对微软mpeg2 0Day漏洞的安全代码遭360网页防火墙拦截 

  图片说明:铁道兵网被植入针对微软mpeg2 0Day漏洞的安全代码 

  遭360网页防火墙拦截

  DirectShow 0day漏洞简单信息

  依赖组建:Microsoft DirectShow(msvidctl.dll)

  补丁情况:未提供补丁

  影响系统:windows xp 全补丁系统 IE6(已经测试),IE7(第一次运行会弹框)windows vista (未触发)

  DirectShow 0day漏洞发展

  2009.7.4 晚: 部分安全论坛开始讨论名为Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit的)0day漏洞

  2009.7.5 截至目前: 金山毒霸云安全中心发现大量网站被挂马(平均1-2万次安全),利用的正是这个据说价值7万的0day漏洞

  经过金山毒霸反病毒工程师监控发现,该0day漏洞利用简单,触发率较高,并已经被大规模利用(例如大唐电信主页被挂马),比如目前规模最庞大的李宝玉集团。金山毒霸反病毒工程师通过对恶意代码的分析一旦用户访问携带该漏洞的恶意网站以后将下载宝马下载器到用户电脑并出现IE主页被修改,网游账号丢失、假冒的QQ中奖信息等现象。金山毒霸云安全中心认为,该漏洞将在周一工作日大规模爆发提醒广大网民注意。  

  目前,防范该漏洞的有效方法为安装杀毒软件和各种安全辅助软件,并将病毒库升级到最新,不要访问可疑的网站。开启杀毒软件和安全辅助软件的网页监控和安全监控,并及时关注安全软件厂商公布的信息,以在第一时间打上相关安全补丁。