Das US-CERT warnt vor einem Pufferüberlauf in dem FlashPix-ActiveX-Modul des Herstellers Live Picture. FlashPix ist ein Grafikformat, bei dem auf dem Server Bilder in unterschiedlichen Auflösungen vorliegen, wodurch Anwender in die Bilder heinzoomen können sollen. In der ActiveX-Komponente kann ein Pufferüberlauf auftreten, den Angreifer mit manipulierten Webseiten zum Ausführen beliebigen Programmcodes missbrauchen können.
Das FlashPix-ActiveX-Modul wird von der Bibliothek DXTLIPI.DLL bereitgestellt. Die Funktion SourceUrl() enthält den Fehler, der zum Pufferüberlauf führen kann. Webseiten können das Modul durch die Markierung als Safe for Scripting im Internet Explorer einbinden. Die Webseite der Firma Live Picture lässt sich nicht mehr erreichen, ein Update steht nicht zur Verfügung.
Die fehlerhafte ActiveX-Komponente mit der ClassID {201EA564-A6F6-11D1-811D-00C04FB6BD36} findet sich unter anderem in dem inzwischen recht alten DirectX-Media-SDK 6.0 von Microsoft, aber auch andere Hersteller können ihren Produkten das Modul beilegen und es mitinstallieren. Da inzwischen auch ein Exploit öffentlich verfügbar ist, sollten Anwender entweder das Killbit für das ActiveX-Modul setzen oder besser ActiveX im Browser komplett deaktivieren und gegebenenfalls nur für vertrauenswürdige Seiten erlauben.
Siehe dazu auch:
* Microsoft DirectX Media 6.0 Live Picture Corporation DirectTransform FlashPix ActiveX control buffer overflow, Sicherheitsmeldung vom US-CERT
* Demo-Exploit im milw0rm-Exploit-Archiv
Quelle und Links :
http://www.heise.de/security/news/meldung/94268
