JohnnyCage
Kritikus biztonsági hiba a DirectX-ben
A Microsoft egy olyan problémára hívja fel a felhasználók figyelmét, amely a DirectX kapcsán a legtöbb Windows verziót érinti, és komoly biztonsági kockázatot jelent.
A csütörtökön bejelentett hiba kritikus minősítést kapott a cégtől, mivel olyan idegen kód futtatását teszi lehetővé a Windows alapú számítógépeken, amely a rendszer teljes irányításának megszerzésére is módot adhat a támadónak.
A hiba a DirectX MIDI (Musical Instrument Digital Interface - digitális hangszerillesztő felület) megoldásában található, és egy megfelelően előkészített MIDI fájl lejátszása esetén lehetővé teszi a rendszer irányításának átvételét a támadó számára. Mint Stephen Toulouse, a Microsoft Security Response Center részlegének biztonsági programmenedzsere elmondta, a hiba kihasználását célzó MIDI fájl érkezhet e-mailben, lehet egy weboldalon, vagy akár egy megosztott hálózaton belül.
A hibát tartalmazó MIDI fájl e-mailben való továbbítás esetén már a levél megnyitásával is felszínre hozza a problémát, amennyiben a rendszeren nincs feltelepítve az Outlook E-mail Security Update frissítés, közölte Toulouse. A támadás ráadásul észrevétlen marad az antivírus szoftverek számára, és könnyedén átvihető az e-mail átjárókon is, mondta Russ Cooper, a TruSecure biztonsági szolgáltató cég egyik szakértője.
"A támadás a hiba kihasználásával a felhasználó közreműködése nélkül is végrehajtható, mivel a MIDI fájlokat biztonságos formátumnak tekintik, és így nincs ellenük védve a számítógép" - tette hozzá Cooper.
Az eEye Digital Security által felfedezett hiba a Windows Server 2003 kivételével minden Windows verzió esetén kritikus problémának számít. A Microsoft javítása itt érhető el, de fontos megjegyezni, hogy a társaság az elmúlt napokban több kritikus javítást is kiadott.
A csütörtökön bejelentett hiba kritikus minősítést kapott a cégtől, mivel olyan idegen kód futtatását teszi lehetővé a Windows alapú számítógépeken, amely a rendszer teljes irányításának megszerzésére is módot adhat a támadónak.
A hiba a DirectX MIDI (Musical Instrument Digital Interface - digitális hangszerillesztő felület) megoldásában található, és egy megfelelően előkészített MIDI fájl lejátszása esetén lehetővé teszi a rendszer irányításának átvételét a támadó számára. Mint Stephen Toulouse, a Microsoft Security Response Center részlegének biztonsági programmenedzsere elmondta, a hiba kihasználását célzó MIDI fájl érkezhet e-mailben, lehet egy weboldalon, vagy akár egy megosztott hálózaton belül.
A hibát tartalmazó MIDI fájl e-mailben való továbbítás esetén már a levél megnyitásával is felszínre hozza a problémát, amennyiben a rendszeren nincs feltelepítve az Outlook E-mail Security Update frissítés, közölte Toulouse. A támadás ráadásul észrevétlen marad az antivírus szoftverek számára, és könnyedén átvihető az e-mail átjárókon is, mondta Russ Cooper, a TruSecure biztonsági szolgáltató cég egyik szakértője.
"A támadás a hiba kihasználásával a felhasználó közreműködése nélkül is végrehajtható, mivel a MIDI fájlokat biztonságos formátumnak tekintik, és így nincs ellenük védve a számítógép" - tette hozzá Cooper.
Az eEye Digital Security által felfedezett hiba a Windows Server 2003 kivételével minden Windows verzió esetén kritikus problémának számít. A Microsoft javítása itt érhető el, de fontos megjegyezni, hogy a társaság az elmúlt napokban több kritikus javítást is kiadott.