Советы корпорации Майкрософт по безопасности: уязвимости кодека Indeo делают возможным удаленное выполнение кода, 8 декабря 2009 г.

Внимание! Данная статья содержит информацию об отключении функций безопасности и снижении уровня безопасности. Указанные изменения позволяют решить определенные проблемы, однако предварительно рекомендуется взвесить последствия для безопасности системы. При реализации этого метода обхода предпримите дополнительные меры для защиты своего компьютера.

Корпорация Майкрософт выпустила советы по безопасности, посвященные этой проблеме и предназначенные для ИТ-специалистов. Они содержат дополнительные сведения, касающиеся безопасности. Чтобы ознакомиться с ними, посетите следующий веб-сайт корпорации Майкрософт:

http://www.microsoft.com/technet/security/advisory/954157.mspx (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)

ВВЕДЕНИЕ

Сведения о встроенном кодеке Indeo, разработанном корпорацией Майкрософт

Кодек Indeo может использоваться в разных целях, в том числе в работе некоторых приложений. Он также требуется при посещении законных веб-сайтов и для работы бизнес-приложений в корпоративной среде. Наибольшему риску подвержены пользователи более ранних версий операционной системы Windows. Пользователи, не нуждающиеся в этом кодеке, могут предпринять дополнительные действия и отменить его регистрацию. В данной статье описано два способа отмены регистрации кодека: с помощью указанной ниже функции устранения неполадки и вручную.

Отмена регистрации встроенного кодека Indeo, разработанного корпорацией Майкрософт, с помощью функции устранения проблемы

Чтобы отменить регистрацию кодека Indeo на своем компьютере, нажмите в первом столбце приведенной ниже таблицы кнопку Устранить неполадку. После этого приложения не смогут использовать кодек. Это средство отменяет регистрацию в системе двоичных файлов кодека, а также добавляет списки управления доступом, предотвращающие их использование. Доступно второе средство устранения неполадки, с помощью которого можно отменить предыдущее действие, если это потребуется в дальнейшем.

Нажмите кнопку "Устранить", чтобы автоматически отменить регистрацию кодека Indeo

Нажмите кнопку "Устранить", чтобы автоматически восстановить регистрацию кодека Indeo



Отмена регистрации встроенного кодека Indeo, разработанного корпорацией Майкрософт, вручную

Со встроенным кодеком Indeo связано множество файлов. Наличие на компьютере файлов, перечисленных в этом документе, зависит от версии установленной операционной системы Windows. Прежде чем вручную отменять регистрацию его файлов, убедитесь в их наличии. Сначала найдите каталог с этими файлами, а затем запустите образец сценария, приведенный в этой статье.



Перед удалением встроенного кодека Microsoft рекомендуется переименовать его двоичные файлы, например присвоить им имена вида imya_dvoichnogo_faila.old. Это позволит отменить удаление, если в дальнейшем потребуется восстановить работоспособность кодека Indeo. В данной статье содержится образец сценария, который можно использовать для автоматической отмены регистрации кодека в системе.


Примечание. Отмена регистрации кодеков Indeo может привести к проблемам совместимости при попытке воспроизвести содержимое, для которого требуются эти кодеки.

Примечание. В этой таблице перечислены имена двоичных файлов и версии встроенных кодеков Microsoft Indeo, регистрацию которых можно отменить. В ней не содержатся сведения о кодеках сторонних производителей.

Windows 2000

Версия

ir32_32.dll

3.24.15.3

ir41_32.ax

4.51.16.3

ir41_qc.dll

4.30.62.2

ir41_qcx.dll

4.30.64.1

ir50_32.dll

5.2562.15.55

ir50_qc.dll

5.0.63.48

ir50_qcx.dll

5.0.64.48

ivfsrc.ax

5.10.2.51

Windows Server 2003 и Windows XP, 64-разрядные версии

Версия

ir32_32.dll

3.24.15.3

ir41_32.ax

4.51.16.3

ir41_qc.dll

4.30.62.2

ir41_qcx.dll

4.30.64.1

ir50_32.dll

5.2562.15.55

ir50_qc.dll

5.0.63.48

ir50_qcx.dll

5.0.64.48

Windows XP

Версия

ir32_32.dll

3.24.15.3

ir41_32.ax

4.51.16.3

ir41_qc.dll

4.30.62.2

ir41_qcx.dll

4.30.64.1

ir50_32.dll

5.2562.15.55

ir50_qc.dll

5.0.63.48

ir50_qcx.dll

5.0.64.48


Образец сценария для удаления кодека Indeo

rem - list of indeo files
rem
rem ir32_32.dll
rem ir41_32.ax
rem ir41_qc.dll
rem ir41_qcx.dll
rem ir50_32.dll
rem ir50_qc.dll
rem ir50_qcx.dll
rem ivfsrc.ax

rem backup operations 32-bit

copy %windir%\system32\ir32_32.dll %windir%\system32\ir32_32.dll.old
copy %windir%\system32\dllcache\ir32_32.dll %windir%\system32\dllcache\ir32_32.dll.old
copy %windir%\system32\ir41_32.ax %windir%\system32\ir41_32.ax.old
copy %windir%\system32\dllcache\ir41_32.ax %windir%\system32\dllcache\ir41_32.ax.old
copy %windir%\system32\ir41_qc.dll %windir%\system32\ir41_qc.dll.old
copy %windir%\system32\dllcache\ir41_qc.dll %windir%\system32\dllcache\ir41_qc.dll.old
copy %windir%\system32\ir41_qcx.dll %windir%\system32\ir41_qcx.dll.old
copy %windir%\system32\dllcache\ir41_qcx.dll %windir%\system32\dllcache\ir41_qcx.dll.old
copy %windir%\system32\ir50_32.dll %windir%\system32\ir50_32.dll.old
copy %windir%\system32\dllcache\ir50_32.dll %windir%\system32\dllcache\ir50_32.dll.old
copy %windir%\system32\ir50_qc.dll %windir%\system32\ir50_qc.dll.old
copy %windir%\system32\dllcache\ir50_qc.dll %windir%\system32\dllcache\ir50_qc.dll.old
copy %windir%\system32\ir50_qcx.dll %windir%\system32\ir50_qcx.dll.old
copy %windir%\system32\dllcache\ir50_qcx.dll %windir%\system32\dllcache\ir50_qcx.dll.old
copy %windir%\system32\ivfsrc.ax %windir%\system32\ivfsrc.ax.old
copy %windir%\system32\dllcache\ivfsrc.ax %windir%\system32\dllcache\ivfsrc.ax.old


rem backup operations wow64

copy %windir%\syswow64\ir32_32.dll %windir%\syswow64\ir32_32.dll.old
copy %windir%\system32\dllcache\wir32_32.dll %windir%\system32\dllcache\wir32_32.dll.old
copy %windir%\syswow64\ir41_32.ax %windir%\syswow64\ir41_32.ax.old
copy %windir%\system32\dllcache\wir41_32.ax %windir%\system32\dllcache\wir41_32.ax.old
copy %windir%\syswow64\ir41_qc.dll %windir%\syswow64\ir41_qc.dll.old
copy %windir%\system32\dllcache\wir41_qc.dll %windir%\system32\dllcache\wir41_qc.dll.old
copy %windir%\syswow64\ir41_qcx.dll %windir%\syswow64\ir41_qcx.dll.old
copy %windir%\system32\dllcache\wir41_qcx.dll %windir%\system32\dllcache\wir41_qcx.dll.old
copy %windir%\syswow64\ir50_32.dll %windir%\syswow64\ir50_32.dll.old
copy %windir%\system32\dllcache\wir50_32.dll %windir%\system32\dllcache\wir50_32.dll.old
copy %windir%\syswow64\ir50_qc.dll %windir%\syswow64\ir50_qc.dll.old
copy %windir%\system32\dllcache\wir50_qc.dll %windir%\system32\dllcache\wir50_qc.dll.old
copy %windir%\syswow64\ir50_qcx.dll %windir%\syswow64\ir50_qcx.dll.old
copy %windir%\system32\dllcache\wir50_qcx.dll %windir%\system32\dllcache\wir50_qcx.dll.old
copy %windir%\syswow64\ivfsrc.ax %windir%\syswow64\ivfsrc.ax.old
copy %windir%\system32\dllcache\wivfsrc.ax %windir%\system32\dllcache\wivfsrc.ax.old



rem deletion operations - 32bit

if exist %windir%\system32\ir32_32.dll.old (
del %windir%\system32\ir32_32.dll
)

if exist %windir%\system32\dllcache\ir32_32.dll.old (
del %windir%\system32\dllcache\ir32_32.dll
)

if exist %windir%\system32\ir41_32.ax.old (
del %windir%\system32\ir41_32.ax
)

if exist %windir%\system32\dllcache\ir41_32.ax.old (
del %windir%\system32\dllcache\ir41_32.ax
)

if exist %windir%\system32\ir41_qc.dll.old (
del %windir%\system32\ir41_qc.dll
)

if exist %windir%\system32\dllcache\ir41_qc.dll.old (
del %windir%\system32\dllcache\ir41_qc.dll
)

if exist %windir%\system32\ir41_qcx.dll.old (
del %windir%\system32\ir41_qcx.dll
)

if exist %windir%\system32\dllcache\ir41_qcx.dll.old (
del %windir%\system32\dllcache\ir41_qcx.dll
)

if exist %windir%\system32\ir50_32.dll.old (
del %windir%\system32\ir50_32.dll
)

if exist %windir%\system32\dllcache\ir50_32.dll.old (
del %windir%\system32\dllcache\ir50_32.dll
)

if exist %windir%\system32\ir50_qc.dll.old (
del %windir%\system32\ir50_qc.dll
)

if exist %windir%\system32\dllcache\ir50_qc.dll.old (
del %windir%\system32\dllcache\ir50_qc.dll
)

if exist %windir%\system32\ir50_qcx.dll.old (
del %windir%\system32\ir50_qcx.dll
)

if exist %windir%\system32\dllcache\ir50_qcx.dll.old (
del %windir%\system32\dllcache\ir50_qcx.dll
)

if exist %windir%\system32\ivfsrc.ax.old (
del %windir%\system32\ivfsrc.ax
)

if exist %windir%\system32\dllcache\ivfsrc.ax.old (
del %windir%\system32\dllcache\ivfsrc.ax
)


rem deletion operations - wow64

if exist %windir%\syswow64\ir32_32.dll.old (
del %windir%\syswow64\ir32_32.dll
)

if exist %windir%\system32\dllcache\wir32_32.dll.old (
del %windir%\system32\dllcache\wir32_32.dll
)

if exist %windir%\syswow64\ir41_32.ax.old (
del %windir%\syswow64\ir41_32.ax
)

if exist %windir%\system32\dllcache\wir41_32.ax.old (
del %windir%\system32\dllcache\wir41_32.ax
)

if exist %windir%\syswow64\ir41_qc.dll.old (
del %windir%\syswow64\ir41_qc.dll
)

if exist %windir%\system32\dllcache\wir41_qc.dll.old (
del %windir%\system32\dllcache\wir41_qc.dll
)

if exist %windir%\syswow64\ir41_qcx.dll.old (
del %windir%\syswow64\ir41_qcx.dll
)

if exist %windir%\system32\dllcache\wir41_qcx.dll.old (
del %windir%\system32\dllcache\wir41_qcx.dll
)

if exist %windir%\syswow64\ir50_32.dll.old (
del %windir%\syswow64\ir50_32.dll
)

if exist %windir%\system32\dllcache\wir50_32.dll.old (
del %windir%\system32\dllcache\wir50_32.dll
)

if exist %windir%\syswow64\ir50_qc.dll.old (
del %windir%\syswow64\ir50_qc.dll
)

if exist %windir%\system32\dllcache\wir50_qc.dll.old (
del %windir%\system32\dllcache\wir50_qc.dll
)

if exist %windir%\syswow64\ir50_qcx.dll.old (
del %windir%\syswow64\ir50_qcx.dll
)

if exist %windir%\system32\dllcache\wir50_qcx.dll.old (
del %windir%\system32\dllcache\wir50_qcx.dll
)

if exist %windir%\syswow64\ivfsrc.ax.old (
del %windir%\syswow64\ivfsrc.ax
)

if exist %windir%\system32\dllcache\wivfsrc.ax.old (
del %windir%\system32\dllcache\wivfsrc.ax
)

Восстановление работоспособности кодека Indeo после установки данного обновления для системы безопасности

Предупреждение. Выполнение описанных ниже действий повышает степень уязвимости компьютера или сети для атак пользователей-злоумышленников или проникновения вирусов. Корпорация Майкрософт не рекомендует использовать этот метод, но в случае необходимости его можно применить на свой риск. В случае использования данного метода обхода проблемы полагайтесь на свой опыт и знания.

После установки этого обновления для системы безопасности некоторые функциональные возможности кодека Indeo будут отключены, чтобы браузер Internet Explorer или проигрыватель Windows Media не смогли его использовать. Если потребуется заново включить эти возможности кодека Indeo, восстановите разделы реестра, которые были изменены после установки этого обновления для системы безопасности. В разных версиях операционной системы Windows изменения вносятся в разные разделы реестра.

Примечание. Восстановление разделов реестра может привести к появлению уязвимостей системы безопасности и понижению уровня безопасности компьютера.

Чтобы отменить предотвращение проблем с совместимостью (APPCOMPAT), не удаляя обновление для системы безопасности, выполните приведенные ниже рекомендации для своей версии Windows.

Microsoft Windows 2000

Удалите или переименуйте перечисленные ниже подразделы реестра.

Компонент

Подраздел реестра

Iexplore.exe

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCompatibility\Iexplore.exe

Wmplayer.exe

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCompatibility\Wmplayer.exe

Mplayer2.exe

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCompatibility\Mplayer2.exe

Mplay32.exe

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCompatibility\Mplay32.exe

Windows XP

Создайте перечисленные ниже подразделы реестра.

Компонент

Подраздел реестра

Iexplore.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {5042648C-F439-468D-859B-6CD12BA02D3A}
Значение: (шестнадцатеричное) 0x00000001

Wmplayer.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {46676BCD-88EB-42E1-B542-6929118E8029}
Значение: (шестнадцатеричное) 0x00000001

Mplayer2.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {F1DAD733-5C90-4212-AE22-FFDAEB2C5004}
Значение: (шестнадцатеричное) 0x00000001

Mplayer32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {A5153E0F-B708-46AD-9011-8BE6CA921340}
Значение: (шестнадцатеричное) 0x00000001

Windows Server 2003 (версии для платформ x86 и x64)

Создайте перечисленные ниже подразделы реестра.

Компонент

Подраздел реестра

Iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {5042648C-F439-468D-859B-6CD12BA02D3A}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {5042648C-F439-468D-859B-6CD12BA02D3A}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {A731342D-6D9B-4FE5-970D-5A3D0B6BBB6C}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {A731342D-6D9B-4FE5-970D-5A3D0B6BBB6C}
Значение: (шестнадцатеричное) 0x00000001

Wmplayer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {46676BCD-88EB-42E1-B542-6929118E8029}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {46676BCD-88EB-42E1-B542-6929118E8029}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {405BCD49-9AAE-47C8-8E30-A8A504B626CB}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {405BCD49-9AAE-47C8-8E30-A8A504B626CB}
Значение: (шестнадцатеричное) 0x00000001

Mplayer2.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {F1DAD733-5C90-4212-AE22-FFDAEB2C5004}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {F1DAD733-5C90-4212-AE22-FFDAEB2C5004}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {75A1B058-2189-422D-A967-F7AFF142237C}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {75A1B058-2189-422D-A967-F7AFF142237C}
Значение: (шестнадцатеричное) 0x00000001

Mplayer32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {A5153E0F-B708-46AD-9011-8BE6CA921340}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {A5153E0F-B708-46AD-9011-8BE6CA921340}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {5B8661D5-ECE1-4BD9-93E8-5B7E56544EE2}
Значение: (шестнадцатеричное) 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
REG_DWORD. {5B8661D5-ECE1-4BD9-93E8-5B7E56544EE2}
Значение: (шестнадцатеричное) 0x00000001

Известные проблемы

Файл Quartz.dll отображается как неподписанный двоичный файл

Возможна описанная ниже ситуация.

  • Это обновление устанавливается на компьютер под управлением Microsoft Windows 2000 с пакетом обновления 4 (SP4), на котором установлены DirectX 7 или DirectX 8.

  • Осуществляется обновление до DirectX 8 или DirectX 9.

  • Выполняется попытка повторно установить это обновление.

В этой ситуации файл Quartz.dll успешно обновляется до безопасной версии. Однако он может отображаться как неподписанный двоичный файл.

Для устранения данной проблемы выполните указанные ниже действия.

  1. Удалите обновление для более ранней версии Microsoft DirectShow.

  2. Удалите следующий файл каталога вручную:

    %systemroot%\system32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB971633.cat

  3. Выполните обновление до более новой версии DirectShow.

  4. Установите обновление для системы безопасности, которое соответствует этой новой версии DirectX.

Дополнительные сведения об этих советах по безопасности

Ниже приведены ссылки на пакеты. Дополнительные сведения об этих советах по безопасности см. в перечисленных ниже статьях базы знаний Майкрософт.

955759 Советы корпорации Майкрософт по безопасности: описание обновления AppCompat для кодека Indeo, 8 декабря 2009 г.

976138 Советы корпорации Майкрософт по безопасности: описание обновления Quartz для кодека Indeo, 8 декабря 2009 г.

Дополнительная информация

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×