Redmond (USA) – Il Windows Media Player 6.4 – un software non giovanissimo ma, per le sue caratteristiche e la sua leggerezza, ancora amato da molti utenti di Windows – è afflitto da una vulnerabilità di sicurezza che potrebbe, nel caso più grave, consentire ad un assalitore di far girare sul sistema vittima codice a piacere.
La falla, costituita da un unchecked buffer, riguarda il componente del WMP 6.4 che si incarica di processare i file di tipo ASF (Advanced Streaming Format). “Creando uno speciale file ASF malformato – recita il bollettino di sicurezza di Microsoft – ed inducendo un utente a riprodurlo, un assalitore può sovraccaricare il buffer con uno dei seguenti risultati: nel caso più semplice, il WMP 6.4 non riesce a caricare il file; nel caso più complesso, il codice scelto dall’assalitore può essere eseguito sul computer dell’utente con gli stessi privilegi di quest’ultimo”.
Microsoft sostiene che questa vulnerabilità – che ne ricorda da vicino una scoperta lo scorso anno e riguardante i file ASX – è comunque di bassa pericolosità visto che non può essere sfruttata via e-mail o via Web e, oltre a questo, il cracker dovrebbe conoscere molto bene la macchina dell’utente.
La patch rilasciata da Microsoft è però particolarmente importante perché mette un cerottone anche a diverse altre vulnerabilità scoperte nel WMP 6.4 ed in alcuni suoi componenti utilizzati anche in WMP 7, 7.1 e XP.
In questo caso Microsoft sostiene si tratti di vulnerabilità “critiche”, che potrebbero seriamente compromettere la sicurezza del sistema anche aprendo e-mail o pagine Web con contenuti “maliziosi”.
Microsoft consiglia di scaricare qui la patch (per il momento solo in inglese) per Windows 98, 98SE, ME, 2000, XP e Windows NT 4.0, ma agli utenti di XP consiglia di procedere all’aggiornamento attraverso il sito Windows Update .
Ti potrebbe interessare
21 nov 2001