Microsoft DirectX DirectShow指针验证远程代码执行漏洞(MS09-0
发布时间:2020-12-14 02:00:03 所属栏目:Windows 来源:网络整理
导读:Microsoft DirectX是Windows操作系统中的一项功能,流媒体在玩游戏或观看视频时通过这个功能支持图形和声音。 DirectX的DirectShow组件(quartz.dll)在更新指针时验证某些值的方式存在远程代码执行漏洞。如果用户打开了特制的 QuickTime文件,这个漏洞可能
Microsoft DirectX是Windows操作系统中的一项功能,流媒体在玩游戏或观看视频时通过这个功能支持图形和声音。
DirectX的DirectShow组件(quartz.dll)在更新指针时验证某些值的方式存在远程代码执行漏洞。如果用户打开了特制的 QuickTime文件,这个漏洞可能允许代码执行。如果用户以管理权限登录,成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。系统上帐号配置为较少权限的用户比以管理权限操作的用户所受影响要小。
解决方法
临时解决方法:
* 在Quartz.dll中禁止解析QuickTime内容。
? ? 使用交互方式
? ??
? ? 32位Windows系统:
? ??
? ? 1. 点击“开始”、“运行”,在“打开”框中键入Regedit,然后点击“确定”。
? ? 2. 找到并点击以下注册表子键:HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
? ? 3. 点击“文件”菜单并选择“导出”。
? ? 4. 在“导出注册表文件”对话框中,输入QuickTime_Parser_Backup.reg并点击“保存”。这会在默认的“我的文档”文件夹中创建该注册表项的备份。
? ? 5. 按下“删除”键删除注册表项。如果“确认删除项”对话框提示是否要删除注册表项,点击“是”。
? ? 64位Windows系统:
? ??
? ? 1. 点击“开始”、“运行”,在“打开”框中键入Regedit,然后点击“确定”。
? ? 2. 找到并点击以下注册表子键:HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
? ? 3. 点击“文件”菜单并选择“导出”。
? ? 4. 在“导出注册表文件”对话框中,输入QuickTime_Parser_Backup1.reg并点击“保存”。这会在默认的“我的文档”文件夹中创建该注册表项的备份。
? ? 5. 按下“删除”键删除注册表项。如果“确认删除项”对话框提示是否要删除注册表项,点击“是”。
? ? 6. 找到以下子键:HKEY_CLASSES_ROOTWow6432NodeCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
? ? 7. 在“文件”菜单点击“导出”。
? ? 8. 在“导出注册表文件”对话框中,输入QuickTime_Parser_Backup2.reg并点击“保存”。这会在默认的“我的文档”文件夹中创建该注册表项的备份。
? ? 9. 按下“删除”键删除注册表项。如果“确认删除项”对话框提示是否要删除注册表项,点击“是”。
? ? ? ??
? ? 使用管理的部署脚本
? ??
? ? 1. 使用包含有以下命令的管理部署脚本创建注册表项备份拷贝:
? ? 32位Windows系统:
? ??
Regedit.exe /e QuickTime_Decoder_Backup.reg
HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
? ? 64位Windows系统:
? ??
Regedit.exe /e QuickTime_Decoder_Backup1.reg
HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
Regedit.exe /e QuickTime_Decoder_Backup2.reg
HKEY_CLASSES_ROOTWow6432NodeCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}
? ? 2. 用.REG扩展名保存以下文件,如Disable_QuickTime_Parser.reg:
? ? 32位Windows系统:
? ??
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}]
? ? 64位Windows系统:
? ??
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}]
[-HKEY_CLASSES_ROOTWow6432NodeCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A}]
? ? 3. 在目标机器上从提升的命令提示符通过以下命令运行上述注册表脚本:
? ? Regedit.exe /s Disable_QuickTime_Parser.reg
* 修改quartz.dll的访问控制列表
? ??
? ? 在Windows XP和 Windows Server 2003(所有版本)上,通过命令提示符运行以下命令(需要管理权限):
? ? 32位Windows系统:
? ??
? ? Echo y| cacls WINDIRSYSTEM32quartz.DLL /E /P everyone:N
? ? 64位Windows系统:
? ??
? ? Echo y| cacls WINDIRSYSTEM32quartz.DLL /E /P everyone:N
? ? Echo y| cacls WINDIRSYSWOW64quartz.DLL /E /P everyone:N
* 注销quartz.dll。
? ??
? ? 如果要注销这个DLL,在提升的命令提示符中运行以下命令:
? ??
? ? 32位Windows系统:
? ??
? ? Regsvr32.exe –u WINDIRsystem32quartz.dll
? ? 64位Windows系统:
? ??
? ? Regsvr32.exe –u WINDIRsystem32quartz.dll
? ? Regsvr32.exe –u WINDIRsyswow64quartz.dll
* 对于非多媒体文件夹类型,可通过使用Windows经典文件夹来缓解Windows shell攻击载体。
? ??
? ? 1. 点击“开始”、“控制面板”、“外观和主题”,然后点击“文件夹选项”;或者,打开任意文件夹,如“我的文档”,然后在“工具”菜单中点击“文件夹选项”。
? ? 2. 在“常规”标签的“任务”下选择“使用Windows传统风格的文件夹”。
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- Windows 10 携这三大新功能,五月震撼来袭。
- winapi – 添加Windows对POSIX项目的支持……多么痛苦?值得
- Windows API解释器
- windows-phone-7 – 以编程方式关闭WP7应用程序?
- windows – 如何检测人工鼠标移动?
- 远程桌面服务 – Microsoft VDI 2012 – VDI个人收集与基于
- 在WIN2008R2的IIS7环境下安装PHP5.6.15
- Windows应用程序退出代码列表
- windows-server-2008 – 使用Powershell和Openfiles关闭Win
- windows-phone-7 – 在Windows Phone中购买应用程序
推荐文章
站长推荐
- 如何从Windows命令提示符获取自己的进程pid
- Windows10 版本说明 From wiki 20190104
- windows-server-2008 – 如何为单个办公室设置多
- remote-desktop – 在Windows Server 2012中为RD
- Windows – Linux/Unix中“性能计数器”的概念
- windows-server-2008 – 远程连接sql server无法
- windows – 你应该用SSD禁用页面文件吗?
- 在Windows服务中托管WCF服务
- windows – ionic 2启动失败,生成命令出错
- windows-7 – VirtualBox:粮食表不一致
热点阅读