Microsoft DirectX DirectShow AVI文件解析堆溢出漏洞（MS10-013）

受影响系统：

Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows 7
Microsoft Windows 2000SP4

描述：

BUGTRAQ ID: 38112
CVE ID: CVE-2010-0250

Microsoft DirectX是Windows操作系统中的一项功能，流媒体在玩游戏或观看视频时通过这个功能支持图形和声音。

DirectX的DirectShow组件（quartz.dll）在解析AVI文件中的特定类型视频流时没有正确的使用分配所用的长度字段，导致分配了不充分的缓冲区。用户打开特制的AVI文件就可以触发堆溢出，导致执行任意代码。

<*来源：ZDI （http://www.zerodayinitiative.com/）

  链接：http://secunia.com/advisories/38511/
        http://marc.info/?l=bugtraq&m=126575192910913&w=2
        http://www.microsoft.com/technet/security/bulletin/MS10-013.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA10-040A.html
*>

建议：

厂商补丁：

Microsoft
———
Microsoft已经为此发布了一个安全公告（MS10-013）以及相应补丁:
MS10-013：Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (977935)
链接：http://www.microsoft.com/technet/security/bulletin/MS10-013.mspx?pf=true

← Microsoft Windows SMB内存破坏远程拒绝服务漏洞（MS10-012）

Microsoft Windows Kerberos Ticket-Granting-Ticket远程拒绝服务漏洞（MS10-014） →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Microsoft DirectX DirectShow AVI文件解析堆溢出漏洞（MS10-013）

0 条评论。

发表评论