发布日期:2003-7-23
漏洞影响:攻击者可以在用户系统上执行代码
漏洞等级:危急
受影响系统:
Microsoft DirectX® 5.2 on Windows 98
Microsoft DirectX 6.1 on Windows 98 SE
Microsoft DirectX 7.0a on Windows Millennium Edition
Microsoft DirectX 7.0 on Windows 2000
Microsoft DirectX 8.1 on Windows XP
Microsoft DirectX 8.1 on Windows Server 2003
Microsoft DirectX 9.0a when installed on Windows Millennium Edition
Microsoft DirectX 9.0a when installed on Windows 2000
Microsoft DirectX 9.0a when installed on Windows XP
Microsoft DirectX 9.0a when installed on Windows Server 2003
Microsoft Windows NT 4.0 with either Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 installed.
Microsoft Windows NT 4.0, Terminal Server Edition with either Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 installed.
漏洞详细描述:
DirectX 由一组低级应用程序编程接口 (API) 组成,Windows 程序使用这组接口获取多媒体支持。在 DirectX 内,DirectShow 技术执行客户端音频和视频的提供、处理及输出。
在 DirectShow 用来检查 MIDI (.MID) 文件参数的功能中存在两个具有相同效果的缓冲区溢出。这会造成安全漏洞,因为恶意用户可能会尝试利用这些缺陷在已登录的用户的安全上下文中执行代码。
攻击者通过以下方法利用此漏洞:精心创建一个 MIDI 文件,然后将此文件置于一个网站或网络共享位置,或通过一个 HTML 电子邮件发送此文件。如果此文件位于一个网站或网络共享位置,用户需要打开这个精心创建的文件。如果此文件是嵌入在一个网页中,那么在用户访问这个网页时,这个漏洞就会被利用。如果通过 HTML 电子邮件发送此文件,当用户打开或预览此 HTML 电子邮件时,这个漏洞就会被利用。成功的攻击可导致 DirectShow 或使用 DirectShow 的应用程序出现问题,或导致用户的计算机在用户的安全上下文中运行攻击者的代码。
漏洞等级描述:
| Microsoft DirectX 9.0a |
重要 |
| Microsoft DirectX 9.0a when installed on Windows Server 2003 |
重要 |
| Microsoft DirectX 8.1 |
危急 |
| Microsoft DirectX 8.1 on Windows Server 2003 |
重要 |
| Microsoft DirectX 7.0a on Windows Millennium Edition |
危急 |
| Microsoft DirectX 7.0 on Windows 2000 |
危急 |
| Microsoft Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 when installed on Windows NT 4.0 |
危急 |
| Microsoft Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 when installed on Windows NT 4.0, Terminal Server Edition |
危急 |
下载补丁:
目前Microsoft已经发布了升级补丁以修复这个安全问题,请到厂商的网站下载:
Microsoft DirectX 5.2, DirectX 6.1 and DirectX 7.0a on Windows 98, Windows 98 SE and Windows Millennium Edition
Microsoft DirectX 7.0 on Windows 2000
Microsoft DirectX 8.1 on Windows XP 32-bit Edition
Microsoft DirectX 8.1 on Windows XP 64-bit Edition
Microsoft DirectX 8.1 on Windows Server 2003 32-bit Edition
Microsoft DirectX 8.1 on Windows Server 2003 64-bit Edition
Microsoft DirectX 9.0a: All Windows versions
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0, Terminal Server Edition
Note: DirectX 9.0b 可以运行于除了Windows NT 4.0之外的任何版本的Windows。其补丁下载地址是:All Windows Versions except Windows NT 4.0
相关文章
