MediaPlayer 7: Další bezpečnostní díra do systému

Chybu objevila vývojářská společnost GFI zabývající se softwarem pro kontrolu obsahu e-mailů. Společnost Microsoft byla na problém upozorněna a vydala k němu stanovisko, které si můžete přečíst zde.

Pes je zakopán ve funkci umožňující změnu uživatelského rozhraní MediaPlayeru. Právě schopnost skinování může být využita ke spouštění kódu na vzdáleném počítači.

Tato bezpečnostní díra je umožněna vložením souboru s JavaScriptem (.js) do souboru obsahujícího skin pro MediaPlayer (.wmz), který může být také obsažen v souborech formátu Windows Media Download (.wmd). V praxi to znamená, že k otevření systému není potřeba, aby uživatel otevíral nějaké přílohy, neboť MediaPlayer si spustí tyto soubory sám po jejich vyvolání pomocí elementu IFRAME (používá se pro rám uvnitř stránky) nebo JavaScriptové funkce window.open() (ta slouží k otevírání oken prohlížeče).

K zalepení díry GFU doporučuje uživatelům filtr, který zamítne přijímání všech přicházejících e-mailů, jež mají v příloze soubor s příponou .wmd nebo .wmz.

Implementace HTML technologií a různých skriptovacích jazyků je patrně nevyhnutelnou nutností, neboť webové technologie se pomalu ale jistě stávají běžnou součástí operačních systémů Windows. Microsoft bohužel ve snaze o zjednodušení dovolil některým aplikacím automatické otevírání souborů s určitými příponami (například otevření přílohy s příponou dokumentu MS Office přímo z e-mailového klienta nebo v okně internetového prohlížeče), neboť nepočítal s tím, že tyto soubory budou obsahovat další kód, který si s počítačem bude moci dělat prakticky cokoli. Příliš rychlý nástup nových technologií má tedy za následek jediné: bezpečnostní díry více či méně znepříjemňující život všech uživatelů.