sábado, 28 de junio de 2003

Fallo en control ActiveX de Media Player 9 permite acceso a librería multimedia

Un control ActiveX incluido con Windows Media Player 9 permite a los
autores de páginas web la creación de páginas que puedan reproducir
medios audiovisuales y proporcionar un interfaz de usuario para que se
controle la reproducción. Existe un fallo en este control ActiveX de
forma que se proporciona al atacante acceso a información del
ordenador del usuario.

Un atacante podrá crear una página web que haga uso del control
ActiveX vulnerable de forma que le permita el acceso para visualizar y
manipular los metadatos contenidos en la librería de medios del
ordenador del usuario.

Para explotar esta vulnerabilidad el atacante deberá disponer de una
página web maliciosa diseñada para explotar el fallo y persuadir al
usuario a que visite dicho sistema.

El atacante únicamente tendrá acceso a manipular los datos de la
librería multimedia del sistema del usuario, lo que incluye
información sobre los archivos multimedia, lo que incluye título de
canciones, nombre de artistas, álbunes, etc.

El parche publicado puede descargarse desde:
http://microsoft.com/downloads/details.aspx?FamilyId=36814221-8194-4492-BB29-94DB3D4CB682&displaylang=en

Para Windows 2003 desde:
http://microsoft.com/downloads/details.aspx?FamilyId=82CD6192-15D8-4E28-9B14-F9B78FF01D8A&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Flaw In Windows Media Player May Allow Media Library Access
http://www.microsoft.com/technet/security/bulletin/MS03-021.asp

What You Should Know About Microsoft Security Bulletin MS03-021
Security Update for Windows Media Player
http://www.microsoft.com/security/security_bulletins/ms03-021.asp