Redmond (USA) – Classificata con il più alto livello di rischio, Microsoft ha descritto nel bollettino di sicurezza MS03-017 una vulnerabilità del Windows Media Player (WMP) che potrebbe consentire ad un aggressore di eseguire sul PC di un utente del codice a sua scelta.
La falla, che interessa le versioni 7.1 e XP (8.0) del WMP, consiste in una cattiva gestione del download delle skin, quei file in formato XML che consentono di modificare l’aspetto dell’interfaccia grafica del player.
Un aggressore può sfruttare il bug del WMP “per piazzare un file mascherato da skin in una locazione conosciuta della macchina dell’utente”, ad esempio nella cartella Esecuzione automatica . Il file può consistere in uno script o in un qualsiasi altro tipo di eseguibile malevolo.
Microsoft spiega che questa falla permette di aggirare quel meccanismo di sicurezza che, normalmente, fa sì che i file scaricati attraverso il WMP vengano salvati in una locazione casuale e non pronosticabile all’interno della cartella Temporary Internet Files .
Il big di Redmond sottolinea il fatto che l’aggressore che intenda avvantaggiarsi della vulnerabilità deve riuscire a convincere l’utente a scaricare la propria skin da un server Web oppure ad aprirla da un allegato di posta elettronica attraverso una vecchia versione di Outlook o Outlook Express.
Le patch possono essere scaricate attraverso il Windows Update o i link forniti all’interno del bollettino di sicurezza di Microsoft. Il WMP 9.0 non è interessato dal problema.
La vulnerabilità, scoperta lo scorso marzo dalla società di sicurezza Oy Online Solutions , ne ricorda due analoghe emerse una all’inizio del 2001 ed una alla fine del 2000, entrambe relative al WMP 7.0.
Gli esperti di sicurezza hanno più volte discusso , nel recente passato, il pericolo legato al crescere delle funzionalità e dell’integrazione con Internet dei maggiori player sulla piazza, fra cui WMP e WinAMP: questo, secondo gli esperti, può far crescere in proporzione anche i rischi legati alla sicurezza e alla privacy degli utenti.