Windows Media Player angripes

Sårbarhet utnyttes til «drive-by»-nedlasting av skadevare.

Windows-brukere som ikke har installert de nyeste sikkerhetsoppdateringene fra Microsoft risikerer å få pc-en infisert av skadevare uten at de gjør noe annet enn å besøke en ondsinnet webside.

Den aktuelle sårbarheten er én av tre som Microsoft fjernet fra Windows Media Player i begynnelsen av januar gjennom en sikkerhetsoppdatering. Sårbarheten berører bare Windows Vista SP2 og eldre, men dette utgjør likevel over halvparten av verdens Windows-pcer.

Sårbarheten åpner for fjernkjøring av vilkårlig kode, og skyldes ifølge Microsoft at programvaren svikter når den skal behandle visse spesielt utformede MIDI-filer.

Angrepene som nå pågår mot denne sårbarheten, utnytter ifølge Trend Micro nettopp dette, ved å lokke brukere inn på websider som inneholder slike spesielt utformede MIDI-filer. Når filen åpnes i Windows Media Player, noe som utgangspunktet skjer automatisk – i alle fall i Internet Explorer, så vil kode som er integrert i HTML-siden laste ned en fil med ytterligere kode, som vil dekodes og kjøres.

Ifølge Trend Micro skal koden som lastes ned både inkludere et rootkit og spionvare. Den sistnevnte skal stjele innloggingsinformasjon til visse koreanske spillnettsteder, som deretter sendes til angripernes kommando- og kontrollserver.

Brukere som besøker de infiserte websidene vil ifølge Trend Micro ikke merke annet enn at Windows Media Player åpnes og spiller av en lydfil.

Sikkerhetsoppdateringene som Microsoft ga ut i begynnelsen av januar fjerner sårbarheten og dermed mulighetene for angripere til å gjennomføre et slikt angrep.

Til toppen