CNNVD-ID编号 | CNNVD-200907-258 |
CVE编号 | CVE-2009-1539 |
发布时间 | 2009-07-15 |
更新时间 | 2019-04-02 |
漏洞类型 | 代码注入 |
漏洞来源 | Aaron Portnoy aportnoy@ccs.neu.edu |
危险等级 | 超危 |
威胁类型 | 远程 |
厂 商 | microsoft |
Microsoft DirectX是Windows操作系统中的一项功能,流媒体在玩游戏或观看视频时通过这个功能支持图形和声音 。
DirectX的DirectShow组件(quartz.dll)在解析QuickTime元素时错误地信任了NumberOfEntries字段,攻击者对该字段指定了超大的值就可能会触发内存破坏。如果用户打开了特制的QuickTime文件,这个漏洞可能允许代码执行。如果用户以管理权限登录,成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。系统上帐号配置为较少权限的用户比以管理权限操作的用户所受影响要小 。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Microsoft DirectX 8.1
Microsoft Security Update for DirectX 8 for Windows 2000 (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=ce297c3e-8122 -4276-a9c2-d1a404f8028d
Microsoft DirectX 9.0
Microsoft Security Update for DirectX 9 for Windows 2000 (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=862db2ad-3c1f -4a26-af70-d8c4f5a69dda
Microsoft Security Update for Windows Server 2003 (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=571d57c5-1ef8 -4dc4-a1e5-2211a805f0cc
Microsoft Security Update for Windows Server 2003 for Itanium-based Systems (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=48282a89-f849 -405a-a31e-2676f45b5042
Microsoft Security Update for Windows Server 2003 x64 Edition (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=1779cbc0-0c29 -4fac-a3a6-8b335ffcb98e
Microsoft Security Update for Windows XP (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=09d585cb-481d -4767-875e-9c6ebe456b80
Microsoft Security Update for Windows XP x64 Edition (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=f8cd4803-82da -467c-8cb1-520f5a6021d4
Microsoft DirectX 7.0
Microsoft Security Update for Windows 2000 (KB971633)
http://www.microsoft.com/downloads/details.aspx?FamilyId=e3e54348-6548 -4162-b4c0-9910ec6e18b3
来源:http://nvd.nist.gov/nvd.cfm?cvename=CVE-2009-1539※http://www.securityfocus.com/bid/35616※http://www.nsfocus.net/vulndb/13591
链接:链接:无
来源:OSVDB
来源:OVAL
链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6341
来源:MS
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028
来源:CERT