Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1128

[MS/DirectX] Pufferüberlaufschwachstellen in DirectX
(2003-07-24 08:51:31.882436+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS03-030.asp

DirectX weist in der Funktion, die von DirectShow zum Überprüfen der Parameter in einer MIDI-Datei verwendet wird, zwei Pufferüberlaufschwachstellen auf. Diese Schwachstellen ausnutzend, kann beim Zugriff auf MIDI-Dateien, beliebiger Programmcode mit den Privilegien des Anwenders ausgeführt werden.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
MIDI-Datei (.mid-Datei), die z.B. über Netzwerkfreigaben angeboten werden oder in HTML-Dokumente (Webseiten, E-Mail) eingebettet sind

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Anwenders
(remote user compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die DirectX-Komponente DirectShow weist zwei Pufferüberlaufschwachstellen in der Bibliothek QUARTZ.DLL auf. Diese Bibliothek erlaubt Windows-Anwendungen Musical Instrument Digital Interface (MIDI)-Dateien abzuspielen. Ein Angreifer kann eine arglistige MIDI-Datei auf einer Netzwerkfreigabe speichern oder in HTML-Dokumente (Webseiten, E-Mail) einbetten. Greift ein Anwender nun auf diese Datei zu (bzw. betrachtet das HTML-Dokument), so kann die Schwachstelle dazu ausgenutzt werden, auf dem System des Anwenders beliebigen Programmcode mit den Privilegien des Anwenders auszuführen.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Hinweis: DirectX 9.0b weist die beschriebenen Schwachstellen nicht auf. DirectX 9.0b kann nach Angaben von Microsoft auf allen Windows-Versionen mit Ausnahme von Windows NT 4.0 installiert werden.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1128