SEGURIDAD | Noticias | 25 MAY 2001

Dos fallos de Windows Media Player dejan el PC del usuario a merced de los hackers

Microsoft ha desarrollado un parche para solucionar dos fallos de seguridad en Windows Media Player 6.4 y 7. Los agujeros podrían permitir a un atacante ejecutar programas y leer, modificar o borrar archivos del PC del usuario.
Arantxa G. Aguilera
El bug de Windows Media Player podría permitir a un intruso realizar cambios en el PC del usuario, tanto borrar archivos como ejecutar programas. Para acceder al sistema, el hacker puede invocar una secuencia especial de código enviada a través de un mensaje de correo electrónico HTML o ejecutar el código en cuanto el usuario visitase determinada página web.

El problema se deriva de la forma en que el reproductor multimedia gestiona los archivos Active Stream Redirector, utilizados para encontrar y reproducir streaming y usar las listas de reproducción, según Microsoft. Debido a un fallo en el buffer de memoria referido a los archivos .asx, el usuario del reproductor queda a merced del código del atacante.

El segundo fallo tiene su origen en la forma en que Windows Media Player gestiona los atajos de Internet. Permite a un atacante ver los archivos del PC del usuario, pero no modificarlos ni borrarlos. En este caso, el intruso también podría ejecutar código HTML para acceder al ordenador del usuario. Este fallo se debe a que se supone que los atajos de Internet deben crearse en la carpeta caché de Internet Explorer. Sin embargo, Windows Media Player los crea en la carpeta de archivos temporales. De todas maneras, aprovecharse de este agujero es más complicado, según Microsoft, porque el hacker debe conocer el nombre exacto y la ubicación del archivo para acceder a él.

El parche, que se puede encontrar en la dirección www.microsoft.com/technet/security/bulletin/MS01-029.asp. sirve para Windows Media Player 6.4. Los usuarios de la versión 7 deberán actualizarse a la versión 7.1 para resolver el problema, según Microsoft. Este parche también resuelve un fallo que permite obtener datos del usuario que, aunque no permitirían identificarle por su nombre, sí contendrían información sobre su perfil.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información