0-day exploit: Microsoft DirectShow
S-au raportat atacuri 0-day care exploateaza o vulnerabilitate intr-o componenta a Microsoft DirectShow.
Produsele afectate sunt: cel putin Windows XP.
Infectia se produce via Internet Explorer sau a altor programe care pot fi vulnerabile (RealPlayer, Baidu Toolbar, etc.)
Pentru a te infecta e de ajuns sa vizitezi un website compromis. Nu este nevoie de interventia utilizatorului.
Solutie: Pana la aparitia unui patch poti seta killbits pentru fisierul vulnerabil:
Copiaza randurile de mai jos in Notepad si salveaza fisierul cu denumirea killbit.reg . La Save as type: trebuie sa selectezi All files (*.*)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]
“Compatibility Flags”=dword:00000400
Apoi dublu click pe killbit.reg ca sa efectuezi modificarile in Windows Registry.
Lista completa a identificatorilor se afla pe site-ul Microsoft: Microsoft Security Advisory (972890) Inlocuieste X-urile de mai sus cu cate un identificator.
Poti seta un killbit si cu ajutorul Spyware Blaster.
Copiaza randul de mai jos in fereastra corespunzatoare a Spyware Blaster:
{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Lista completa a identificatorilor se afla pe site-ul Microsoft: Microsoft Security Advisory (972890)
In plus, mentine antivirusul cu semnaturile la zi.
Detalii: Microsoft DirectShow MPEG2TuneRequest ActiveX Control Buffer Overflow (extremely critical)
Update
Vulnerabilitatea este exploatata deocamdata in China si in alte parti din Asia.
Windows Vista nu pare a fi vulnerabil.
Recomandari:
- cel mai important: seteaza killbit-ul (vezi mai sus)
- actualizeaza periodic semnaturile antivirusului
- dezactiveaza JavaScript in Internet Explorer
Microsoft a lansat un avertisment: Microsoft Security Advisory (972890)
