Microsoft advirtió el lunes de una vulnerabilidad en el control de ActiveX de vídeo que podría permitir a un atacante tomar el control de un PC si el usuario visita un sitio Web malintencionado.

Este es el segundo agujero de seguridad de DirectShow que Microsoft ha anunciado en los últimos meses. La compañía todavía no ha proporcionado una actualización de seguridad para una vulnerabilidad anunciada en mayo que afecta la forma en que DirectX maneja los archivos de QuickTime.

Dado que por diseño se utiliza el control ActiveX en Internet Explorer, Microsoft recomienda que los usuarios de la aplicación de una solución se indica en el asesoramiento de seguridad. Los clientes pueden implementar la solución automática, siguiendo las instrucciones en “Para solucionar el problema” en el artículo de Knowledge Base número 972890 de asesoramiento sobre el sitio de soporte técnico de Microsoft.

A pesar de que Windows Vista y Windows Server 2008 no se ven afectados por la vulnerabilidad, Microsoft recomienda que los usuarios de estos productos también utilizar la solución.

El control es el principal componente utilizado en Windows Media Center para la construcción de filtro de gráficos para la grabación y reproducción de vídeo de televisión.

Cuando se utiliza en el IE, el control puede corromper el estado del sistema de tal manera que código arbitrario podría ser ejecutado por un atacante. Si el usuario está conectado con permisos administrativos, el atacante podría tomar completo control del sistema.

Las versiones de Internet Explorer 6 y 7 están en peligro, pero al parecer IE 8 no es vulnerable.

Via: http://www.microsoft.com/technet/security/advisory/972890.mspx