Ondsinnet kode kan gjemmes i Media Player "skins"

Microsoft anbefaler brukere av Windows Media Player å installere en fiks for å tette et sikkerhetshull i håndteringen av "skins".

Multimediaspilleren til Microsoft, Windows Media Player, har den egenskapen at programmets utseende på skjermen kan varieres ved å laste ned såkalte "skins", omtrent på samme måte som man bytter t-skjorte for å få nye farger og motiver.

I en sikkerhetsadvarsel, Microsoft Security Bulletin MS03-017: Flaw in Windows Media Player Skins Downloading could allow Code Execution, heter det at to bestemte versjoner av spilleren, 7.1 og Windows XP-versjonen 8.0 – altså ikke versjon 9.0 – ikke gjør en tilstrekkelig validering av skin-filer ved nedlasting. Denne feilen kan utnyttes til å lure brukere til å laste ned filer som gir seg ut for å være skin-filer, men som i virkeligheten inneholder vilkårlig og potensielt sett ondsinnet kode. En angriper kan tenkes å lure en bruker til å laste ned en skin-fil, og bruke anledningen til å plassere en trojaner i en forutsigbar mappe på offerets PC. Trojaneren vil da seinere kunne aktiveres og gi angriperen full kontroll over offerets PC.

Advarselen gir anvisninger på hva som må gjøres for å laste ned og installere en fiks for å sikre at spilleren selv avslører og avviser falske "skins".

Feilen betraktes som "kritisk" og Microsoft anbefaler brukere å installere fiksen.

Til toppen