almac
10.05.2003, 10:15
Version 9 nicht betroffen
Wie das Online-Magazin CHIP berichtet, warnt Microsoft vor einem neu entdeckten Sicherheitsloch im Windows Media Player. Aufgrund eines Fehlers in der Download-Routine für Skins sollen die Programm-Versionen 7.1 und 8.0 (XP) einem Angreifer den Zugriff auf den entsprechenden PC erlauben. Dabei können auch EXE-Dateien untergejubelt werden. Ein Patch für die betroffenen Versionen steht zum Download bereit.
Die Oberfläche des Windows Media Players lässt sich mit Hilfe von Skins verändern. Dazu notwendige Dateien sind in einer XML-Datei organisiert, die dem Programm vorgibt, wie es beispielsweise die Oberfläche oder Visualisierungen einbinden soll. Ein Angreifer könnte etwa ein Skin-Paket selbst zusammenstellen und in eine Website einbetten. Mit Hilfe einer Website oder einer HTML-Mail lässt sich nach Angaben von Microsoft eine Skin-Datei automatisch auf einen fremden PC laden. Der Windows Media Player lässt dabei auch zu, dass etwa eine speziell präparierte EXE-Datei auf dem angegriffenen Windows-Rechner gespeichert wird. Dies eröffnet einem Hacker die Möglichkeit, mit den selben Rechten wie der legitime Nutzer an dem Computer zu arbeiten.
Die von Microsoft als "kritisch" eingestufte Lücke behebt ein jetzt zum Download bereitgestelltes Update für die beiden Versionen des Windows Media Players. Die aktuelle Windows Media Player 9 Serie bietet diesen Angriffspunkt nicht, schreibt Microsoft.
Wie das Online-Magazin CHIP berichtet, warnt Microsoft vor einem neu entdeckten Sicherheitsloch im Windows Media Player. Aufgrund eines Fehlers in der Download-Routine für Skins sollen die Programm-Versionen 7.1 und 8.0 (XP) einem Angreifer den Zugriff auf den entsprechenden PC erlauben. Dabei können auch EXE-Dateien untergejubelt werden. Ein Patch für die betroffenen Versionen steht zum Download bereit.
Die Oberfläche des Windows Media Players lässt sich mit Hilfe von Skins verändern. Dazu notwendige Dateien sind in einer XML-Datei organisiert, die dem Programm vorgibt, wie es beispielsweise die Oberfläche oder Visualisierungen einbinden soll. Ein Angreifer könnte etwa ein Skin-Paket selbst zusammenstellen und in eine Website einbetten. Mit Hilfe einer Website oder einer HTML-Mail lässt sich nach Angaben von Microsoft eine Skin-Datei automatisch auf einen fremden PC laden. Der Windows Media Player lässt dabei auch zu, dass etwa eine speziell präparierte EXE-Datei auf dem angegriffenen Windows-Rechner gespeichert wird. Dies eröffnet einem Hacker die Möglichkeit, mit den selben Rechten wie der legitime Nutzer an dem Computer zu arbeiten.
Die von Microsoft als "kritisch" eingestufte Lücke behebt ein jetzt zum Download bereitgestelltes Update für die beiden Versionen des Windows Media Players. Die aktuelle Windows Media Player 9 Serie bietet diesen Angriffspunkt nicht, schreibt Microsoft.