140350

Patch für Windows Media Player

15.02.2001 | 15:32 Uhr |

Microsoft bietet ab sofort einen Patch für die so genannte "Skin-Download"-Lücke an, die es Angreifern erlaubt, über modifizierte Dateien die volle Kontrolle über einen Rechner zu erlangen.

Microsoft bietet ab sofort einen Patch für die so genannte "Skin-Download"-Lücke an. Der passionierte Bug-Jäger Gregori Guninski hat bereits vor mehreren Wochen auf diese Lücke hingewiesen.

Mit Veröffentlichung des Media Player 7 bot Microsoft erstmals das Skin-Feature an. Über diese Skins lässt sich die Oberfläche des Players an den eigenen Geschmack anpassen. Allerdings kann die WMZ-Datei einer Skin von einem Angreifer derart modifiziert werden, dass sie selbstausführenden Java-Code enthält.

Wird eine manipulierte WMZ-Datei heruntergeladen und ausgeführt, kann ein Angreifer den vollen Zugriff auf den betroffenen Rechner erlangen. Hierzu muss er nur wissen, wo die Datei gespeichert wurde. Da aber im allgemeinen diese Dateien im Standardverzeichnis "C:/Programme/Windows Media Player/Skins" liegen, ist es für Angreifer keine große Kunst, diesen Ort zu erraten.

Ist der Speicherort der Java-Datei bekannt, kann von außen darauf zugegriffen werden. Auf diese Weise können Daten manipuliert oder zerstört werden.

Der Patch ist 1,1 Megabyte groß und steht für Windows 98, ME sowie 2000 zur Verfügung.

Keine Auskunft gibt Microsoft darüber, ob der angebotene Patch auch mit der deutschsprachigen Version des Media-Players funktioniert. Eine Test-Installation unter Windows 98 in der Redaktion der PC-WELT verlief jedoch ohne Probleme. (PC-WELT, 15.02.2001, mp)

Download des Patches

Sicherheitslücke in Powerpoint 2000 (PC-WELT Online, 24.01.2001)

Sicherheitslücke im Windows Media Player (PC-WELT Online, 03.01.2001)

Achtung: Sicherheitslücke im Internet Explorer (PC-WELT Online, 24.11.2000)

IE 5.5 Service-Pack 1 deutsch (PC-WELT Online, 03.11.2000)

0 Kommentare zu diesem Artikel
140350