Krytyczna luka w kontrolce ActiveX do streamingu

Secunia informuje o wysocekrytycznej luce w zabezpieczeniach, która dotyczy przeglądarekInternet Explorer na systemach Windows XP i może pozwolićatakującemu na zdalne przejęcie kontroli nad komputeremofiary. Luka oznaczona jest jako "0-day" - odkryta została już po tym, jakw Internecie zaczeła być wykorzystywana przez rozmaite exploity,głównie na chińskich witrynach. Błąd znajduje się w komponencieDirectShow, a konkretnie w kontrolce ActiveX msvidctl.dllodpowiedzialnej za dostarczanie multimediów strumieniowych.Wykorzystanie luki wymaga odtworzenia specjalnie spreparowanejtreści, co doprowadza do przepełnienia bufora w funkcjiMPEG2TuneRequest. Dotychczas potwierdzono podatność przeglądarkiInternet Explorer 6/7 w systemie Windows XP. W systemie WindowsVista pod przeglądarką Internet Explorer 7 niezaufane kontrolkiActiveX są domyślnie blokowane. Luka dopiero co została odkryta, nie ma jeszcze poprawki. Aktualniejedynym zabezpieczeniem jest odfiltrowanie kontrolki ActiveX wrejestrze i uniemożliwienie jej uruchomienia. Stosowną instrukcjęznaleźć można na stronach pomocy technicznej Microsoftu. Najlepsząochroną będzie jednak jak zwykle własna czujność i rozsądek -radzimy po prostu nie pobierać ani nie oglądać materiałów wideo zpodejrzanych witryn.