| Vulnerabilidade no DirectXMicrosoft Security Bulletin MS08-033 [CAIS, 11.06.2008-11:49, revisão 01]
O CAIS está repassando o alerta da Microsoft, intitulado "MS08-033 - Critical Vulnerabilities in DirectX Could Allow Remote Code Execution (951698)", que trata de duas vulnerabilidades recém-descobertas no Microsoft DirectX.
As vulnerabilidades de execução remota de código existem devido à maneira como o DirectX manipula arquivos em formatos suportados e devido à maneira como o codec Windows MJPEG manipula fluxos de dados MJPEG, em AVI ou ASF.
Caso um atacante consiga explorar com sucesso esta vulnerabilidade, ele poderá obter o controle total sobre o sistema afetado. Entretanto, no caso de um usuário com poucos privilégios estar registrado no sistema no momento do ataque, o impacto será menor do que se o usuário estivesse registrado com privilégios de administrador.
A Microsoft considera esta vulnerabilidade crítica e recomenda que todos os usuários apliquem as correções imediatamente.
Sistemas afetados
- Microsoft Windows 2000 Service Pack 4 (DirectX 7.0)
- Microsoft Windows 2000 Service Pack 4 (DirectX 8.1)
- Microsoft Windows 2000 Service Pack 4 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Service Pack 3 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Professional x64 Edition (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Professional x64 Edition Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 Service Pack 1 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 x64 Edition (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 x64 Edition Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 com SP1 para sistemas baseados em Itanium (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 com SP2 para sistemas baseados em Itanium (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Vista (DirectX 10.0)
- Windows Vista Service Pack 1 (DirectX 10.0)
- Windows Vista x64 Edition (DirectX 10.0)
- Windows Vista x64 Edition Service Pack 1 (DirectX 10.0)
- Windows Server 2008 para 32-bit Systems* (DirectX 10.0)
- Windows Server 2008 para sistemas baseados em x64* (DirectX 10.0)
- Windows Server 2008 para sistemas baseados em Itanium (DirectX 10.0)
Correções disponíveis
Recomenda-se fazer a atualização para as versões disponíveis em :
- Microsoft Windows 2000 Service Pack 4 (DirectX 7.0)
- Microsoft Windows 2000 Service Pack 4 (DirectX 8.1)
- Microsoft Windows 2000 Service Pack 4 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Service Pack 3 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Professional x64 Edition (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows XP Professional x64 Edition Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 Service Pack 1 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 x64 Edition (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 x64 Edition Service Pack 2 (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 com SP1 para sistemas baseados em Itanium (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Server 2003 com SP2 para sistemas baseados em Itanium (DirectX 9.0, DirectX 9.0b ou DirectX 9.0c)
- Windows Vista (DirectX 10.0)
- Windows Vista Service Pack 1 (DirectX 10.0)
- Windows Vista x64 Edition (DirectX 10.0)
- Windows Vista x64 Edition Service Pack 1 (DirectX 10.0)
- Windows Server 2008 para 32-bit Systems* (DirectX 10.0)
- Windows Server 2008 para sistemas baseados em x64* (DirectX 10.0)
- Windows Server 2008 para sistemas baseados em Itanium (DirectX 10.0)
Versões do Windows Server 2008 não são afetadas se instaladas utilizando-se a opção de instalação "Server Core". Para mais informações, consulte o alerta original da Microsoft (seção "Mais informações).
Mais informações
Identificador CVE (http://cve.mitre.org): CVE-2008-0011, CVE-2008-1444
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
|
Listas de alertas publicados: 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 +55 (19) 3787-3301
cais@cais.rnp.br
Chave PGP pública do Cais |