- Offizieller Beitrag
Wegen Der Wichtigkeit übernehme ich die Meldung ausnahmsweise mal im Ganzen
Ein Sicherheitsloch in DirectX wird von Microsoft als "Kritisch" eingestuft und sollte mit dem in MS03-030 verfügbarem Patch schnell beseitigt werden. Betroffen sind folgende Versionen:
* Microsoft DirectX® 5.2 unter Windows 98
* Microsoft DirectX 6.1 unter Windows 98 SE
* Microsoft DirectX 7.0a unter Windows Millennium Edition
* Microsoft DirectX 7.0 unter Windows 2000
* Microsoft DirectX 8.1 unter Windows XP
* Microsoft DirectX 8.1 unter Windows Server 2003
* Microsoft DirectX 9.0a installiert auf Windows Millennium Edition
* Microsoft DirectX 9.0a installiert auf Windows 2000
* Microsoft DirectX 9.0a installiert auf Windows XP
* Microsoft DirectX 9.0a installiert auf Windows Server 2003
* Microsoft Windows NT 4.0, sowohl mit Windows Media Player 6.4 als auch mit dem Internet Explorer 6 Service Pack 1
* Microsoft Windows NT 4.0, Terminal Server Edition, sowohl mit Windows Media Player 6.4 als auch mit Internet Explorer 6 Service Pack 1
Ein Fehler in der Behandlung von MIDI-Dateien kann einen Buffer Overflow provozieren und den Stack überschreiben. Ein Angreifer könnte somit in einer Musik-Datei Code unterbringen und im Kontext des Benutzers ausführen lassen. Dazu muss der Benutzer aber die MIDI-Datei ausführen. Schuld ist die verwendete DirectShow-Komponente in DirectX: Sie überprüft in MIDI-Files untergebrachte Parameter zum Abspielen der MIDI-Files und arbeitet nicht korrekt. (dab/c't)
Quelle: Heise Security