Sicherheitslücke in Windows Media Player 7

Auch im neuen Jahr verschont Microsoft uns nicht mit Sicherheitslöchern: Über den Internet Explorer und Windows Media Player 7 können böswillige Website-Betreiber die lokale Festplatte anzapfen.

Eine via Internet Explorer auszunutzende Sicherheitslücke im Windows Media Player 7 ermöglicht das Lesen von Dateien auf der lokalen Festplatte. Dies öffnet der Ausführung beliebiger Programme Tür und Tor. Im schlimmsten Fall könne der Angreifer die komplette Kontrolle über den Rechner übernehmen, warnt der Entdecker des Sicherheitslochs, Georgi Guninski.

Laut Guninski zeichnet das ActiveX-Control WMP für die Verwundbarkeit verantwortlich. Es erlaubt den Aufruf von Javascript-URLs in beliebigen bereits geöffneten Frames, wodurch sich deren DOM übernehmen lässt. Eine ausführliche Beschreibung der Lücke sowie eine Demonstration der Vulnerability finden sie auf Guninskis Website.

Das Sicherheitsrisiko betrifft alle Rechner unter Windows 98/ME und 2000, auf denen der Windows Media Player 7 installiert ist. Als Abhilfe empfiehlt Guninski, im Internet Explorer das Active Scripting zu unterbinden. Eine offizielle Reaktion von Microsoft steht bislang aus, obwohl der Hersteller schon am 26. Dezember von der Sicherheitslücke informiert wurde. (jlu)