Biztonsági rés a Media Player 7-ben

Gyimesi Dávid, 2000. november 25. 23:37
Egy most felfedezett biztonsági hiányosságot kihasználva a gyanútlan Media Player 7-felhasználók gépén bármilyen kódot futtatni lehet, ha a felhasználó éppen egy weboldalt néz, vagy HTML alapú e-mailt tölt le.
A biztonsági rést a GFI találta meg. A GFI egy e-mail tartalom-ellenőrző szoftvert készítő cég. A Microsoftot értesítették a problémáról, amely kiadott egy javaslatot a felhasználóknak. A javaslat elérhető itt.

A probléma forrása a Media Player 7 felületváltoztatási képessége. Az úgynevezett "skin"-ek (bőr) változtatását lehetővé tévő modult ugyanis fel lehet használni távoli gépeken lévő kódok futtatására.

Sandro Gauci, a GFI biztonsági mérnöke szerint a kártékony tevékenységhez csak annyi szükséges, hogy egy e-mail nyitva legyen a gépen, vagy pedig egy rosszindulatú weboldalt böngésszünk. Gauci szerint "a biztonsági problémát JavaScript (.js) Media Player 7 skin fájlba (.wmz) való beágyazásával lehet kiváltani, ami viszont bele lehet ágyazva egy Windows Media Download fájlba (.wmd). A felhasználónak még csak csatolt fájlt sem kell futtatnia, mert a futtatást a Media Player 7 elvégzi magától".

A probléma kiküszöbölésére a GFI azt javasolja, hogy szűrjük ki e-mailünkből a WMD és WMZ fájlokat. A társaság szerint a HTML e-mail fájlokból is érdemes kiszűrni a JavaScript, az iFrame, meta refresh és ActiveX tagokat.

Azt meg kell vallani, a Microsoftnak mostanában nincs szerencséje az efféle dolgokkal, de az is lehet, hogy ennek semmi köze a szerencséhez. A cég annak ellenére, hogy az ilyen és a még kellemetlenebb hírek kezdenek mindennapossá válni, jól láthatóan semmi érdemlegeset nem tesz a problémák megszüntetéséért, az ígérgetéseket leszámítva.

Pedig ezek a hibák, amellett, hogy égetik a céget, veszélyesek is lehetnek.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59