Biztonsági rés a Media Player 7-ben

Gyimesi Dávid, 2000. november 25. 23:37
Egy most felfedezett biztonsági hiányosságot kihasználva a gyanútlan Media Player 7-felhasználók gépén bármilyen kódot futtatni lehet, ha a felhasználó éppen egy weboldalt néz, vagy HTML alapú e-mailt tölt le.
A biztonsági rést a GFI találta meg. A GFI egy e-mail tartalom-ellenőrző szoftvert készítő cég. A Microsoftot értesítették a problémáról, amely kiadott egy javaslatot a felhasználóknak. A javaslat elérhető itt.

A probléma forrása a Media Player 7 felületváltoztatási képessége. Az úgynevezett "skin"-ek (bőr) változtatását lehetővé tévő modult ugyanis fel lehet használni távoli gépeken lévő kódok futtatására.

Sandro Gauci, a GFI biztonsági mérnöke szerint a kártékony tevékenységhez csak annyi szükséges, hogy egy e-mail nyitva legyen a gépen, vagy pedig egy rosszindulatú weboldalt böngésszünk. Gauci szerint "a biztonsági problémát JavaScript (.js) Media Player 7 skin fájlba (.wmz) való beágyazásával lehet kiváltani, ami viszont bele lehet ágyazva egy Windows Media Download fájlba (.wmd). A felhasználónak még csak csatolt fájlt sem kell futtatnia, mert a futtatást a Media Player 7 elvégzi magától".

A probléma kiküszöbölésére a GFI azt javasolja, hogy szűrjük ki e-mailünkből a WMD és WMZ fájlokat. A társaság szerint a HTML e-mail fájlokból is érdemes kiszűrni a JavaScript, az iFrame, meta refresh és ActiveX tagokat.

Azt meg kell vallani, a Microsoftnak mostanában nincs szerencséje az efféle dolgokkal, de az is lehet, hogy ennek semmi köze a szerencséhez. A cég annak ellenére, hogy az ilyen és a még kellemetlenebb hírek kezdenek mindennapossá válni, jól láthatóan semmi érdemlegeset nem tesz a problémák megszüntetéséért, az ígérgetéseket leszámítva.

Pedig ezek a hibák, amellett, hogy égetik a céget, veszélyesek is lehetnek.