Microsoft heeft tijdens de patchdinsdag van februari een update voor een 20 jaar oude video-codec uitgebracht. Het gaat om de uit 1992 stammende Indeo-codec, die als één van de eerste probleemloos video's zonder hardwarematige-versnelling kon afspelen. Inmiddels is Indeo overbodig en is de codec sinds Windows Vista standaard uitgeschakeld. In 2009 besloot Microsoft het aanvalsoppervlak verder te verkleinen, door te voorkomen dat Indeo in Windows Media Player of Internet Explorer werd geladen. Daardoor was Indeo niet meer op afstand door aanvallers te misbruiken.
Het afspelen van video's mag dan deels geblokkeerd zijn, de codec zelf is vanwege 'legacy' ondersteuning nog steeds onderdeel van Windows. Onderzoekers hebben nu een DLL-preloading kwetsbaarheid ontdekt die via Indeo te misbruiken is. Daardoor zou een aanvaller willekeurige code op de computer kunnen uitvoeren.
Dummy
Een groot aantal programma's zoekt ook in de geopende directory naar DLL-bestanden, die voor het uitvoeren van het te openen bestand nodig zijn. Een aanvaller zou zodoende kwaadaardige DLL-bestanden door het programma kunnen laten uitvoeren. Hiervoor moet het slachtoffer bijvoorbeeld een kwaadaardig bestand in een gedeelde WebDAV of SMB map openen. Vanwege de "uitdagingen" in het patchen van Indeo, nam Microsoft de ongewone stap om een "dummy DLL" op de computer te plaatsen.
Dit bestand heeft dezelfde naam als het DLL-bestand van de aanvaller zou moeten hebben. Aangezien het bestand nu al op het systeem staat, zal Indeo het kwaadaardige DLL-bestand niet gebruiken. Wel verwacht Microsoft dat aanvallers binnen een maand exploitcode voor dit lek hebben ontwikkeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.