Kritikus biztonsági hiba a Windows Media Playerben – a javítás már letölthető

A lejátszóprogramok között nagy tudásbeli különbségek általában nincsenek, így amiben lényegesen eltérhetnek, az a külcsín. Egy testreszabható kinézettel viszont akárhányszor ˝újjá˝ lehet ˝varázsolni˝ a playerek felületét – ezért találták fel a skineket. A Media Player is skinezhető (˝szép˝ magyar szó a külső testreszabására…), ennek kivitelezésében az XML nyelvet használta a Microsoft. Nos, konkrétan nem is ez a hiba, hanem…

…a letöltött skinek kezelése. Egy támadó ugyanis skinnek álcázhat egy olyan állományt, ami valójában nem is az – hanem akár egy ártó szándékú, futtatható file (például egy trójai program) is lehet. Ezt pedig nem is olyan nehéz eljuttatni a felhasználó számítógépére: létre lehet hozni olyan website-ot, amelyen fent van egy ilyen, skinnek álcázott program – a felhasználót mindössze arra kell rávenni, hogy látogasson el erre a website-ra.

Amennyiben az áldozat még nem rendelkezik a korábbi Outlook biztonsági frissítésekkel, előfordulhat az az eset is, hogy nincs is szükség a linkre való kattintásra, azt automatikusan elvégzi az e-mail – így még veszélyesebbé téve a hibát. Ezzel pedig már nagyon sok felhasználó érhető el – elég csak spamszerűen továbbítani az ilyen leveleket, és azok automatikusan kiszolgáltatják a rendszereket. Az egészet még tetézi, hogy az így becsempészett kód természetesen a felhasználó privilégiumaival rendelkezik.

Érintett rendszerek

Windows Media Player 7.1
Windows Media Player for Windows XP (8.0)