Критическая уязвимость в приложении Microsoft Media Player
[10.05.2003]
7 мая 2003 года компания Microsoft опубликовала сообщение о выпуске очередного патча - MS03-017 в связи с обнаружением критической язывимости в системе безопасности приложения MS Windows Media Player.
Дефект в механизме загрузки оболочек для приложения Windows Media Player может привести к запуску произвольного кода
Уязвимости подвержены следующие версии Windows Media Player:
Оболочки представляют собой набор скриптов, графических, медийных и текстовых файлов используемых для создания нового интерфейса программы Windows Media Player, которые, как правило, загружаются в директорию Temporary Internet Files. Программа поставляется с набором стандартных оболочек, но, при желании, пользователь может создать ее собственную реализацию.
Уязвимость кроется не в оболочках вообще, а только в способе их загрузки в систему. Дело в том, что в указанных выше версиях программы не осуществляет корректная проверка URL, посредством которых предполагается проводить загрузку оболочек в систему. И в случае создания специальным образом сконструированного вредоносного URL через такой ресурс, в определенное, известное нападающему место можно загрузить файл, маскирующийся под файлы оболочки. Запуск такого файла будет гарантированно обеспечен в случае, если он будет помещен в директорию с программами, автоматически запускающимися при каждом начале работы пользователя в Windows. После запуска такого файла он может осуществлять в пользовательской системе любые действия в контексте определенных для такого пользователя привилегий.
Для проведения атаки нападающему необходимо создать веб-сайт, содержащий страницу, использующую данный дефект. Далее, ему будет необходимо убедить пользователя посетить этот веб-сайт. Именно убедить посетить, а не заставить каким-то образом посетить его! Еще один вариант атаки - встроить ссылку на свой вредоносный ресурс в почтовое сообщение в формате HTML и отослать его жертве.
ЗАО "ДиалогНаука" призывает пользователей данных версий Windows Media Player загрузить и установить на свои компьютеры патчи, публикуемые компанией Microsoft: