In seinem Beitrag MS Windows Media Player 9 Vulns berichtet Arman Nayyeri über Schwachstellen im Windows Media Player 9. Laut seinen Angaben ermöglichen zwei Fehler das Ausspionieren von Systemen sowie die Veränderung von Media-Dateien.

ActiveX-Control

Laut Nayyeri enthält das ActiveX-Control des Windows Media Player 9 zwei Schwachstellen, mit der Systeme ausspioniert und Daten in Media-Dateien verändert werden können. Ein Fehler findet sich in der Funktion getItemInfoByAtom(), dieser ermöglicht es, dass Angreifer feststellen können, ob bestimmte Dateien auf dem PC vorhanden sind und diese Informationen für weitere Angriffe verwenden. Die Funktionen setItemInfo() und getItemInfo() wieder machen es möglich, dass in Musikdateien der Namen des Künstlers, des Albums und des Liedes überschrieben werden können. Wie Arman Nayyeri weiter meldet, kann auch JavaScript in eine Datei eingeschleust werden. JavaScript soll dann beim Parsen mit dem Internet Explorer in der lokalen Zone ausgeführt werden können, allerdings erlärt Nayyeri in seinem Advisory nicht, wieso ein Browser eine Musik-Datei öffnen soll. Die gemeldeten Fehler sind im ActiveX-Control des Windows Media Player 10 nicht mehr zu finden.(red)