微軟警告DirectX內含安全漏洞 - Windows

資訊來源：http://www.ithome.com.tw/itadm/article.php?c=55252

安全性更新：http://support.microsoft.com/kb/971778#FixItForMeAlways

受影響的作業系統包括Windows 2000 SP4、Windows XP及Windows Server 2003，而較新
的Windows Vista及Windows Server 2008則未受波及。

微軟於上周表示，正在調查DirectX中的新漏洞。當使用者開啟一個惡意的QuickTime檔案
時，駭客可利用該漏洞於遠端執行程式，並已接獲實際攻擊報告。

DirectX是微軟視窗作業系統中的功能，供執行串流媒體時使用。在玩遊戲或播放影片時
提供繪圖及音效，DirectX由許多API所組成，包含可用來播放多媒體串流的DirectShow。

微軟說明，Microsoft DirectShow處理QuickTime格式的檔案時有一個遠端程式執行漏洞
，當使用者開啟惡意的QuickTime檔案，駭客就可藉機執行程式。若使用者以管理者權限
登入，那麼駭客將能完全掌控被駭的電腦，進行諸如程式安裝、編輯或刪除檔案，以及建
立新帳號等作業。

受影響的作業系統包括Windows 2000 SP4、Windows XP及Windows Server 2003，而較新
的Windows Vista及Windows Server 2008則未受波及。

微軟安全軟體工程師Chengyun Chu指出，雖然該安全漏洞存在於DirectShow平台中的Quick
Time分析工具，而非IE或其他瀏覽器，但駭客仍可打造一個惡意網頁，並利用瀏覽器的播
放器外掛程式播放惡意的QuickTime檔案以攻陷該漏洞，所有品牌瀏覽器皆可作為駭客攻
擊的媒介。

微軟提供了三種建議措施，使用者可手動操作以暫時避免因該漏洞受到攻擊。此外，微軟
亦推廣客戶服務暨技術支援中心的自動修正功能，使用者只要按下「fix it」就可自動執
行修正步驟，免去手動設定的障礙。

--
寂寞部屋之意慾蔓延

http://www.wretch.cc/blog/cyc1119

--