Etkisi: Uzaktan sistem erişimi
h07 tarafından keşfedilen bu kritik güvenlik açığı uzaktan kullanıcı sisteminde kod çalıştırılabilmesini sağlıyor.
Açık RTSP cevaplarını işlemedeki bir sınır kontrolü hatasından kaynaklanıyor. Aşırı uzun bir Content-Type başlığı ile dönülen RTSP cevabı hafıza taşmasına yol açabiliyor.
Açıktan yararlanılabilmesi için kullanıcının kötü amaçlı QTL dosyasını açması veya özel hazırlanmış web sitesini ziyaret etmesi gerekiyor.
Açığın 7.3 sürümünde olduğu rapor edildi. Diğer sürümlerde etkileniyor olabilir.
Çözüm:
Henüz bir yama çıkmadı. Aşağıdaki önlemleri uygulayarak açığa karşı korunabilirsiniz.
1) Güvenilmeyen web sitelerine, linklere girmeyin, güvenilmeyen QTL dosyalarını açmayın.
2) rtsp:// protoklünü bloklayın. Default olarak 554/tcp ve 6970-6999/udp portlarını kullanan RTSP çok farklı portlar da kullanabilmektedir. Bu sebeple port bazlı bloklama yeterli olmayabilir.
3) Internet Explorer'da QuickTime ActiveX kontrollerini kapatın
QuickTime ActiveX kontrolü Internet Explorer da aşağıdaki CLSID leri için Killbit set edilerek kapatılabilir:
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
Killbit set etme ile ilgili doküman için http://support.microsoft.com/kb/240797 dokümanına göz atın.
Alternatif olarak aşağıdakileri bir .reg dosyası olarak kaydedip çalıştırabilirsiniz:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4063BE15-3B08-470D-A0D5-B37161CFFD69}]
"Compatibility Flags"=dword:00000400
4) QuickTime pluginini Mozilla-tabanlı web tarayıcılarda kapatın
Firefox gibi Mozilla-tabanlı web tarayıcıları kullananlar QuickTime plugin'ini disable edebilirler.
5) QuickTime dosyaları için çalıştırılacak program atamasını kaldırın
Registry de
HKEY_CLASSES_ROOT\QuickTime.*
anahtarları silinerek windows'un Apple QuickTime ile QT dosyalarını açması engellenebilir.
h07 tarafından keşfedilen bu kritik güvenlik açığı uzaktan kullanıcı sisteminde kod çalıştırılabilmesini sağlıyor.
Açık RTSP cevaplarını işlemedeki bir sınır kontrolü hatasından kaynaklanıyor. Aşırı uzun bir Content-Type başlığı ile dönülen RTSP cevabı hafıza taşmasına yol açabiliyor.
Açıktan yararlanılabilmesi için kullanıcının kötü amaçlı QTL dosyasını açması veya özel hazırlanmış web sitesini ziyaret etmesi gerekiyor.
Açığın 7.3 sürümünde olduğu rapor edildi. Diğer sürümlerde etkileniyor olabilir.
Çözüm:
Henüz bir yama çıkmadı. Aşağıdaki önlemleri uygulayarak açığa karşı korunabilirsiniz.
1) Güvenilmeyen web sitelerine, linklere girmeyin, güvenilmeyen QTL dosyalarını açmayın.
2) rtsp:// protoklünü bloklayın. Default olarak 554/tcp ve 6970-6999/udp portlarını kullanan RTSP çok farklı portlar da kullanabilmektedir. Bu sebeple port bazlı bloklama yeterli olmayabilir.
3) Internet Explorer'da QuickTime ActiveX kontrollerini kapatın
QuickTime ActiveX kontrolü Internet Explorer da aşağıdaki CLSID leri için Killbit set edilerek kapatılabilir:
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}
Killbit set etme ile ilgili doküman için http://support.microsoft.com/kb/240797 dokümanına göz atın.
Alternatif olarak aşağıdakileri bir .reg dosyası olarak kaydedip çalıştırabilirsiniz:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4063BE15-3B08-470D-A0D5-B37161CFFD69}]
"Compatibility Flags"=dword:00000400
4) QuickTime pluginini Mozilla-tabanlı web tarayıcılarda kapatın
Firefox gibi Mozilla-tabanlı web tarayıcıları kullananlar QuickTime plugin'ini disable edebilirler.
5) QuickTime dosyaları için çalıştırılacak program atamasını kaldırın
Registry de
HKEY_CLASSES_ROOT\QuickTime.*
anahtarları silinerek windows'un Apple QuickTime ile QT dosyalarını açması engellenebilir.