Redmond (USA) – Da quando il Windows Media Player (WMP) è “andato on-line”, anche questo apparentemente innocuo software è divenuto un’altra possibile fonte di guai per la privacy e la sicurezza degli utenti, vista soprattutto la sua elevatissima diffusione.
Dopo le skin al buco è oggi la volta di due nuove falle di sicurezza che, stando al bollettino Microsoft pubblicato l’altro ieri, interesserebbero le versioni 6.4 e 7.0 del WMP.
La prima e più seria vulnerabilità è la variante di un buffer overrun scoperto lo scorso novembre: oggi come allora il problema si presenta nella gestione, da parte del player, dei file.ASX (Active Stream Redirector) che vengono utilizzati per ricercare e riprodurre media streaming e play list. Secondo Microsoft questa vulnerabilità, sfruttabile attraverso l’esecuzione di codice malizioso (un programma o uno script contenuto in una pagina HTML, anche via e-mail), potrebbe consentire ad un assalitore di prendere possesso della macchina remota e lanciare, modificare o cancellare file a sua scelta.
Il secondo problema riguarda il modo di gestire i collegamenti a risorse Internet da parte del WMP. Attraverso un collegamento contenente codice HTML malizioso, un assalitore potrebbe infatti far girare questo codice nella zona di protezione locale, la più bassa, e dargli l’abilità di vedere il contenuto dei file, senza per altro poterli né modificare né cancellare.
Gli utenti della versione 6.4 del WMP posso scaricare una patch , mentre gli utenti della versione 7.0 possono (anzi, devono) scaricare l’ aggiornamento alla versione 7.1 (per il momento soltanto in inglese).
Visto che la versione 7.1 del WMP non è esattamente un upgrade “leggero”, ma introduce diverse novità mutuate dall’imminente versione 8.0, c’è chi si domanda perché Microsoft non abbia rilasciato una semplice patch di pochi kappa per far felice chi, delle funzionalità della 7.0, ne aveva già d’avanzo.