CERT-FI haavoittuvuustiedote 032/2003

Haavoittuvuus Media Player -ohjelmassa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft Windows Media Player -ohjelma mahdollistaa mm. eri formaatteihin pakatun videokuvan katselun sekä musiikin kuuntelun Windows-käyttöjärjestelmissä. Media Player -ohjelmasta on löydetty haavoittuvuus, joka liittyy Media Player -ohjelman ulkonäön (skins) vaihtamiseen. Ladattaessa ulkonäön vaihtamiseen tarkoitettuja tiedostoja (skins) hyökkääjän voi olla mahdollista määritellä hakemistopolku, jonne tiedosto (skins) ladataan. Tämän lisäksi hyökkääjän voi olla mahdollista sisällyttää tiedostoon (skins) omia komentojaan ja suorittaa niitä kohdetietojärjestelmässä.

Haavoittuvuuden hyväksikäyttö on mahdollista esimerkiksi hyökkääjän ylläpitämän web-sivuston kautta niin, että hän saa kohdetietojärjestelmän käyttäjän lataamaan sivustoltaan Media Player -ohjelman ulkonäön vaihtamiseen tarkoitettuja tiedostoja (skins).

Microsoft on luokitellut haavoittuvuuden Critical-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Windows Media Player 7.1

• Microsoft Windows Media Player for Windows XP (version 8.0)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/MS03-017.asp

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS03-017.asp

http://www.microsoft.com/security/security_bulletins/ms03-017.asp

http://www.solutions.fi/index.cgi/news_2003_05_07?lang=fi

PÄIVITYSHISTORIA:

08.05.2003: Julkaistu

Sivua päivitetty 07.08.2007

Tulostusversio