Al parecer, según se deriva de los comentarios de algunos lectores, la
demostración ofrecida por Guninski ha podido confundir a muchos
usuarios al hacer creer que sus sistemas son vulnerables cuando en
realidad no lo son. Tal y como indicábamos, los sistemas con Windows
Media Player cuya versión sea anterior a la 7 se encuentran fuera de
peligro.
Son muchos los lectores que se han dirigido a nosotros para indicarnos
que, tras visitar la página de demostración, sus sistemas se
presentaban vulnerables ante la prueba de Guninski, aun cuando su
versión del reproductor multimedia es la 6. En realidad se trata
de un efecto óptico, si nos fijamos con atención podemos comprobar que
en ningún momento se consuma la vulnerabilidad.
Cuando visualizamos la página web demostración de Guninski aparece
un cuadro que nos avisa que va a leer el fichero c:\test.txt. A
continuación, se abre una nueva ventana de Internet Explorer con el
contenido de ese fichero. Este paso parece ser el causante de la
confusión, en realidad esto no representa vulnerabilidad alguna.
Es simplemente el resultado de una sencilla e inofensiva orden que
hace uso del método window.open de JavaScript:
window.open(«file://c:/test.txt»,»georgi»);
Si nos fijamos en el lado derecho de la barras de estado, en las dos
ventanas de Internet Explorer que se encuentran abiertas en ese
momento (esquina inferior derecha), en la inicial aparece «Internet»,
y en la segunda que se abre con el contenido del fichero se puede
leer «Mi PC». Es decir, son dos zonas de seguridad diferentes, y el
contenido que alberga la página «Mi PC» en local no está accesible
para la ventana de «Internet». No se puede leer el contenido del
fichero c:\test.txt desde Internet, hasta este momento no hay
vulnerabilidad.
La vulnerabilidad se demuestra cuando aparece una ventana de alerta
con el contenido del fichero c:\test.txt, ya que esta ventana es
lanzada desde la página inicial que se encontraba en la zona de
«Internet». En ese momento los datos locales han pasado a dominio
de Internet, y la vulnerabilidad se consuma. Es el resultado de
la llamada al control ActiveX de Windows Media Player 7
anteriormente declarado, que recoge la información de la ventana
local («MiPC»), según la orden:
document.o1.object.launchURL(«javascript:alert(document.body.innerText)»);
Para que los usuarios puedan observarlo de una forma más gráfica,
a continuación pueden visualizar el resultado de la demostración
en un entorno vulnerable (Windows Me):
http://www.hispasec.com/vulnerable.gif
bernardo@hispasec.com
Más información:
01/01/2001 – Grave vulnerabilidad en Windows Media Player 7
http://www.hispasec.com/unaaldia.asp?id=799
Demostración de la vulnerabilidad
http://www.guninski.com/wmp7ie.html
Windows Media Player 7 and IE vulnerability – executing arbitrary programs
http://www.guninski.com/wmp7ie-desc.html
Deja una respuesta