Microsoft potwierdził istnienie luki w DirectShow, oraz fakt, że hakerzy czynnie ją wykorzystują. Luka opiera się na specjalnie spreparowanym pliku multimedialnym QuickTime. Jednak systemy Windows Vista, Windows Server 2008 i Windows 7 nie są zagrożone, ponieważ parser QuickTime z DirectShow został usunięty już w systemie Windows Vista oraz późniejszych. Problem dotyczy edycji Windows XP, Windows Server 2003 i Windows Server 2000. Sama aplikacja QuickTime nie jest potrzebna aby być zagrożonym. Bowiem luka istnieje w pliku Quartz.dll. Atakujący może spreparować stronę WWW zawierającą spreparowany plik QuickTime, który będzie otworzony przez inny odtwarzacz, chociażby Windows Media Player. Haker dzięki temu może uzyskać całkowitą kontrole nad komputerem; może instalować programy, przeglądać, zmieniać, usuwać dane, tworzyć nowe konta użytkowników z pełnymi prawami.
Jak się ochronić przed luką?
Istnieje kilka metod. W momencie kiedy piszę ten wpis, nie została jeszcze stworzona łatka FixIt, możliwe że będzie ona dostępna później pod linkiem http://go.microsoft.com/?linkid=9668322.
Metoda pierwsza – wyłączenie parsowania plików QuickTime w quartz.dll
Przed wykonaniem tych czynności zaleca się zrobienie kopii zapasowej rejestru.
Aby to wykonać należy (wersja 32-bit):
– Wcisnąć przycisk start i wybrać opcję Run (Uruchom).
– W otwartym oknie wpisać Regedit i wcisnąć przycisk OK,
– Zlokalizować podklucz HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
– Z menu File (Plik) wybrać opcję Export (Eksportuj),
– Podać nazwę pliku, do której ma być zapisana kopia zapasowa (np. QuickTime_Parser_Backup.reg) i wcisnąć przycisk Save (Zapisz)
– Kliknąć Delete (Usuń) na wybranym kluczu, potwierdzając wciśnięciem przycisku Yes (Tak).
Dla wersji 64-bitowych systemu Windows należy:
– Wcisnąć przycisk start i wybrać opcję Run (Uruchom).
– W otwartym oknie wpisać Regedit i wcisnąć przycisk OK,
– Zlokalizować podklucz HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
– Z menu File (Plik) wybrać opcję Export (Eksportuj),
– Podać nazwę pliku, do której ma być zapisana kopia zapasowa (np. QuickTime_Parser_Backup1.reg) i wcisnąć przycisk Save (Zapisz),
– Kliknąć Delete (Usuń) na wybranym kluczu, potwierdzając wciśnięciem przycisku Yes (Tak),
– Zlokalizować podklucz HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
– Z menu File (Plik) wybrać opcję Export (Eksportuj),
– Podać nazwę pliku, do której ma być zapisana kopia zapasowa (np. QuickTime_Parser_Backup2.reg) i wcisnąć przycisk Save (Zapisz),
– Kliknąć Delete (Usuń) na wybranym kluczu, potwierdzając wciśnięciem przycisku Yes (Tak).
Aby przywrócić poprzednie ustawienia, należy uruchomić poprzednio zapisane pliki .reg.
Metoda druga – zmiana Listy Kontroli Dostępu (ACL) dla pliku quartz.dll
Edycje 32-bitowe:
– Uruchamiamy wiersz poleceń cmd z prawami administratora.
– Wpisujemy polecenie : Echo y| cacls %WINDIR%\SYSTEM32\quartz.DLL /E /P everyone:N
Edycje 64-bitowe:
– Uruchamiamy wiersz poleceń cmd z prawami administratora.
– Wpisujemy polecenie: Echo y| cacls %WINDIR%\SYSTEM32\quartz.DLL /E /P everyone:N
– Wpisujemy polecenie: Echo y| cacls %WINDIR%\SYSWOW64\quartz.DLL /E /P everyone:N
Ta metoda niestety zablokuje nam możliwość odtwarzania w Windows Media Player plików .AVI i .WAV.
Metoda trzecia – wyrejestrowanie pliku quartz.dll
Edycje 32-bitowe:
– Uruchamiamy wiersz poleceń cmd z prawami administratora.
– Wpisujemy polecenie : Regsvr32.exe –u %WINDIR%\system32\quartz.dll
Edycje 64-bitowe:
– Uruchamiamy wiersz poleceń cmd z prawami administratora.
– Wpisujemy polecenie: Regsvr32.exe –u %WINDIR%\system32\quartz.dll
– Wpisujemy polecenie: Regsvr32.exe –u %WINDIR%\syswow64\quartz.dll
Ta metoda niestety zablokuje nam możliwość odtwarzania w Windows Media Player plików .AVI i .WAV.
Dodatkowe informacje o luce i możliwościach zabezpieczenia:
http://www.microsoft.com/technet/security/advisory/971778.mspx
http://support.microsoft.com/kb/971778
http://blogs.technet.com/srd/archive/2009/05/28/new-vulnerability-in-quicktime-parsing.aspx
