吳明宜微軟週四發佈安全通報,指出該公司遊戲及多媒體應用API-Microsoft DirectX出現弱點,現正密切觀察中。
微軟週四發佈安全通報,指出該公司遊戲及多媒體應用 API-Microsoft DirectX 出現弱點,現正密切觀察中。
該公司表示該瑕疵出現在 Windows 2000 Service Pack 4 、 Windows XP 與 Windows Server 2003,不過 Windows Vista 和 Windows Server 2008 不受影響。
DirectX 的瑕疵可誘騙不知情的使用者開啟經過變造的 QuickTime 多媒體檔案,或點選可播放 QuickTime 內容的網頁,使遠端攻擊者遂執行惡意程式之企圖。
這項弱點並在 Apple QuickTime 多媒體播放程式或微軟 IE 瀏覽器,而是在 DirectShow 平台 (quartz.dll) 中。不過有漏洞的 Windows 作業系統的使用者,也會經由瀏覽器而感染。
「雖然這項弱點並非存在於 IE 或其他瀏覽器之中,但透過瀏覽器的媒體播放外掛,使用者可能也會一連網就中標,」微軟安全研究與防禦中心工程師朱振雲(譯音)在部落格中指出。「攻擊者可能假造一網頁,利用媒體播放外掛程式來播放惡意的 QuickTime 檔案以攻擊 Quartz.dll 中的弱點。」
一旦成功遠端執行程式,攻擊者就能取得使用者的檔案存取權限。如果使用者擁有管理權限,造成的風險遠大於一般使用者。
微軟表示「已注意到利用該弱點程式的部份主動攻擊。」
本月稍早微軟也發佈安全通報,指出微軟 Internet Information Service (IIS) 組態出現一認證旁路 (authentication bypass) 弱點。