SEGURIDAD | Noticias | 28 NOV 2000

Microsoft parchea dos fallos de seguridad en Windows Media Player

Tags: Seguridad
Se han encontrado fallos de seguridad en el popular software Windows Media Player de Microsoft que podrían permitir a usuarios maliciosos ejecutar programas en un PC remoto. Microsoft publicó la semana pasada el parche para solucionarlo.
PC World
Aunque no se han descrito los fallos de seguridad, se sabe que ambos afectan a Windows Media Player. Pero Microsoft ha preferido publicar directamente el parche que permite arreglar los problemas. En el boletín de seguridad publicado por el fabricante se describen los agujeros y se incluyen los enlaces a los parches disponibles para las versiones 6.4 y 7 del reproductor multimedia. Además, estos parches estarán también disponibles en la próxima actualización periódica del software, prevista para diciembre.
El agujero “.WMS Script Execution” afecta a la versión 7 de Windows Media Player, incluida por defecto con Windows Millennium Edition. El software incluye una característica llamada “skins” que permite a los usuarios personalizar la interfaz del programa. No obstante, un archivo de skin .wms podría incluir un script que se ejecutaría al arrancar Windows Media Player y seleccionar dicho skin, según Microsoft.
Un usuario malicioso podría enviar un skin que contenga un script a cualquiera y animarle a que lo use. También se podría albergar el archivo en cualquier sitio web y provocar su ejecución cuando el usuario visitase el sitio. Como el código puede residir en el PC local del usuario, podría ejecutar controles ActiveX y realizar cualquier acción que se pueda llevar a cabo a través de este tipo de controles, advierte Microsoft.
Este fallo fue descubierto por GFI Security Labs, una unidad del proveedor de software GFI Fax & Voice. GFI advirtió a los usuarios que filtrasen los archivos .wmd y .wmz que les llegasen por correo electrónico, y que eliminasen automáticamente los JavaScript, tags iframe y tags ActiveX incluidos en los mensajes en formato HTML.
El segundo fallo, llamado “.ASX Buffer Overrun Vulnerability”, fue descubierto por @Stake, una consultora de seguridad en Internet. Afecta a las versiones 6.4 y 7 de Windows Media Player y aprovecha el uso que hace el software de los archivos .asx Active Stream Redirector para que los usuarios puedan reproducir streaming media residentes en sitios de Internet o intranets. El código que analiza los archivos .asx tiene un buffer no verificado que podría permitir a un usuario malicioso ejecutar cualquier código en el PC de otro usuario. El código podría realizar en ese PC cualquier acción que pueda ejecutar el usuario legítimo.
www.microsoft.com

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información