Sicherheitsleck im Windows Media Player 7
Über den Internet Explorer und Windows Media Player 7 können böswillige Website-Betreiber die lokale Festplatte von Internet-Surfern anzapfen.
Eine via Internet Explorer auszunutzende Sicherheitslücke im Windows Media Player 7 ermöglicht das Lesen von Dateien auf der lokalen Festplatte.
Das öffnet der Ausführung beliebiger Programme Tür und Tor. Im schlimmsten Fall könne der Angreifer die komplette Kontrolle über den Rechner übernehmen, warnt der Entdecker des Sicherheitslochs, Georgi Guninski.
Laut Guninski zeichnet
das ActiveX-Control WMP für die Verwundbarkeit verantwortlich. Es
erlaubt den Aufruf von Javascript-URLs in beliebigen bereits
geöffneten Frames, wodurch sich deren Document Object Model [DOM]
übernehmen lässt. Eine ausführliche Beschreibung der Lücke sowie
eine Demonstration der Verwundbarkeit findet sich auf
Guninskis Website.Offizielle Reaktion von Microsoft ausständig
Das Sicherheitsrisiko betrifft alle Rechner unter Windows 98/ME und 2000, auf denen der Windows Media Player 7 installiert ist.
Als Abhilfe empfiehlt Guninski, im Internet Explorer das Active Scripting zu unterbinden.
Eine offizielle Reaktion von Microsoft steht bislang aus, obwohl der Hersteller schon am 26. Dezember von der Sicherheitslücke informiert wurde.