16080

Windows Media Player lädt Malware ein

08.12.2006 | 08:55 Uhr |

Ein Pufferüberlauf, verursacht durch speziell präparierte ASX-Dateien, kann das Einschleusen und Ausführen von beliebigem Code ermöglichen.

Eine bereits vor mehr als zwei Wochen entdeckte Schwachstelle in den Versionen 9 und 10 des Windows Media Players findet nun erst verstärkt Beachtung, womöglich weil inzwischen Exploits kursieren. Wie das kürzlich von IBM übernommene Sicherheitsunternehmen ISS in einer Sicherheitsmeldung berichtet, ermöglicht die Ausnutzung der Anfälligkeit zumindest einen Denial-of-Service-Angriff (Programmabsturz).

Die Analyse von Eeye Digital Security spricht hingegen für die Möglichkeit zum Einschleusen und Ausführen beliebigen Codes.

Der Fehler liegt in der Programmbibliothek "wmvcore.dll" des Media Players. Enthält eine Playlist-Datei (.asx) eine URL mit unbekanntem Protokoll-Präfix ("http" wäre zum Beispiel ein bekannter), kann es zu einem Pufferüberlauf kommen.

Wird eine speziell präparierte ASX-Datei in eine Web-Seite eingebunden, wird sie meist automatisch geladen und vom Windows Media Player interpretiert. So könnte ein Angreifer seine Opfer auf eine derart vorbereitete Web-Seite locken und ihnen ein Trojanisches Pferd unterschieben.

Von Microsoft gibt es bislang weder ein den Fehler korrigierendes Update noch eine Sicherheitsempfehlung dazu. Als Problemumgehung ("Workaround") bietet sich etwa die Installation des Media Player 11 an, der nicht betroffen sein soll. Eine Alternative besteht, darin die Verknüpfung von ASX-Dateien mit dem Media Player zu ändern.

Öffnen Sie dazu das Symbol "Arbeitsplatz", darin das Menü "Extras" und dann die "Ordneroptionen". Öffnen Sie nun die Karteikarte "Dateitypen", suchen Sie in der Spalte "Erweiterungen" nach "ASX" und markieren Sie diese Zeile. Nun können Sie die Verknüpfung entweder löschen oder durch einen Klick auf "Erweitert" anpassen. Um sich vor der automatischen Ausführung herunter geladener ASX-Dateien zu schützen, aktivieren Sie hier die Option "Öffnen nach dem Download bestätigen".

0 Kommentare zu diesem Artikel
16080