MS bringt Doppel-Patch für Media Player

Microsoft hat zwei Patches für den Windows Media Player (Version 6.4 und 7) herausgebracht. Die zugehörigen Sicherheitslücken betreffen zum einen die oft von Webseiten genutzten Streaming-Fähigkeiten des Players und zum anderen die ebenso beliebten Skins.

Die Patches kommen als Kombipaket. Die damit gefixten Sicherheitslücken ermöglichten einem Angreifer die Ausführung fast beliebiger ActiveX-Controlls.

Lücke 1, von Microsoft ASX-Buffer-Overrun genannt, lässt - wie der Name verrät - das Ausführen von Code über einen ungeprüften Puffer zu. Dieser befindet sich im Parser für ASX-Dateien (Active Stream Redirect). Betroffen sind der Media Player 6.4 und 7. Zwei Wege führen Angreifer zum Ziel: Die präparierte ASX-Datei kann verschickt oder auf eine Webseite gelegt werden. Im letzteren Fall ist je nach ActiveX-Einstellungen des Browsers sogar ein automatisches Ausführen der Datei möglich. Eine ASX-Datei enthält selbst kein Streaming-Media-Formate sondern Anweisungen, wo der Media Player Stream-Dateien findet und wie er damit zu verfahren hat

Lücke 2, WMS-Script Vulnerability, betrifft die neuen Skins (WMS-Datei) des Media Player 7. Wie vorher beschrieben lässt sich auch eine solche Datei verschicken oder in Webseiten einbauen. WMS-Dateien können Scripts enthalten und damit alle ActiveX-Elemente ausführen, die vom Benutzer nicht abgeschaltet sind. Microsoft betont, dass die mit dem Media Player ausgelieferten Standardskins davon nicht betroffen sind.

Den Patch mit weiterführenden Informationen finden Sie hier. Microsoft kündigt außerdem für Dezember ein Update für den Media Player an, in dem die Patches ebenfalls enthalten sind.

Weitere Informationen zum Thema Sicherheit im Internet finden Sie im Report IE-Sicherheitslücken 2000 und Sicherheitslücken im Netscape Communicator. Der Artikel Safer Surfen gibt allgemeine Tipps. (uba)