Web

 

Windows Media Player und Services sind löchrig

26.06.2003

MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor Sicherheitslücken im Windows Media Player 9 und den Windows Media Services. Durch ungeprüfte Speicherbereiche in den ISAPI-Erweiterungen (Internet Services Application Programming Interface, nsiislog.dll) von Windows 2000 können Angreifer beliebigen Code ausführen. Dazu erzeugen sie durch manipulierte Anfragen an einen Streaming-Server einen Speicherüberlauf. Microsoft stuft das Problem als "important" ein, Abhilfe soll ein Patch schaffen.

Beim Media Player verursacht ein ActiveX-Control ein als "moderate" eingestuftes Problem. Das Control ermöglicht es Web-Designern, Musik und Videos über einen in die Internet-Seite integrierten Media Player zur Verfügung zu stellen, der Grundfunktionen wie schnellen Vor- und Rücklauf sowie eine Pause-Taste bietet. Über das Leck können Hacker auf Metatdaten in lokal gespeicherten Medienbibliotheken zugreifen. Dazu müssen sie Anwender auf eine Website locken, auf der sie Medien über das ActiveX-Control anbieten. Das gelingt zum Beispiel über eine HTML-Mail, die nach dem Öffnen direkt eine entsprechende Seite startet, warnt Microsoft. Es steht ein Bugfix zur Verfügung, der unter Windows 98, 98 SE, ME, 2000 (ab Service Pack 2), XP und XP SP1 sowie Windows Server 2003 installiert werden kann. (lex)