Kritisches Leck in DirectX

SicherheitSicherheitsmanagementSoftware

Microsofts Grafikbibliothek lässt sich mit Quicktime-Videos Code unterschieben. An einem Patch wird bereits gearbeitet.

In einem Security Advisory weist Microsoft auf das Leck in der DirectX-Komponente DirectShow hin. Diese hat Probleme beim Parsen von Audio- und Videoinhalten im Quicktime-Format – allerdings wurde der anfällige Filter in Vista entfernt, so dass nur ältere Windows-Versionen betroffen sind.

Microsoft zufolge lässt sich das Leck auf zwei Arten ausnutzen: so kann eine manipulierte Datei etwa per Mail eintreffen, dem Anwender kann aber auch auf einer Website mit Multimedia-Inhalten Code untergeschoben werden – nicht nur im Internet Explorer, sondern auch in anderen Browsern.

Bis ein Patch vorliegt, empfiehlt der Software-Konzern, das Quicktime-Parsing zu deaktivieren. Wer weiterhin mit dem Windows Media Player Quicktime-Videos abspielen will, kann auch das Killbit für das entsprechende ActiveX-Control im Internet Explorer setzen und ist so zumindest im Microsoft-Browser vor webbasierten Attacken geschützt. Solche wurden bereits beobachtet, wie Microsoft schreibt. (Daniel Dubsky)