Microsoft DirectX MJPEG视频解码远程代码执行漏洞（MS09-011）

BUGTRAQ ID: 34460
CVE(CAN) ID: CVE-2009-0084

Microsoft DirectX是Windows操作系统中的一项功能，流媒体在玩游戏或观看视频时通过这个功能支持图形和声音。

DirectX处理受支持格式文件的方式存在漏洞，如果用户受骗打开了特制的MJPEG文件就会导致执行任意代码。成功利用此漏洞的攻击者可以完全控制受影响的系统，攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

Microsoft DirectX 9.0
Microsoft DirectX 8.1
临时解决方法：

• 在Quartz.dll中禁止解码MJPEG内容。

  使用交互方式

  1. 点击“开始”、“运行”，在“打开”框中键入Regedit，然后点击“确定”。
  2. 找到并点击以下注册表子键：HKEY_CLASSES_ROOT\CLSID{301056D0-6DFF-11D2-9EEB-006008039E37}
  3. 点击“文件”菜单并选择“导出”。
  4. 在“导出注册表文件”对话框中，输入MJPEG_Decoder_Backup.reg并点击“保存”。
     这会在默认的“我的文档”文件夹中创建该注册表项的备份。
  5. 按下“删除”键删除注册表项。如果“确认删除项”对话框提示是否要删除注册表
     项，点击“是”。

  使用管理的部署脚本

  1. 使用包含有以下命令的管理部署脚本创建注册表项备份拷贝：
     Regedit.exe /e MJPEG_Decoder_Backup.reg HKEY_CLASSES_ROOT\CLSID{301056D0-6DFF-11D2-9EEB-006008039E37}
  2. 用.REG扩展名保存以下文件，如Disable_MJPEG_Decoder.reg：

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID{301056D0-6DFF-11D2-9EEB-006008039E37}]

3. 在目标机器上从提升的命令提示符通过以下命令运行上述注册表脚本：
Regedit.exe /s Disable_MJPEG_Decoder.reg

• 注销quartz.dll。

  对于32位Windows系统：
  Regsvr32.exe –u %WINDIR%\system32\quartz.dll

  对于64位Windows系统：
  Regsvr32.exe –u %WINDIR%\syswow64\quartz.dll

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS09-011）以及相应补丁:
MS09-011：Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (961373)
链接：<a href=“http://www.microsoft.com/technet/security/bulletin/MS09-011.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS09-011.mspx?pf=true</a>