安全研究

安全漏洞
Microsoft Media Player 9未授权媒体库访问漏洞(MS03-021)

发布日期:2003-06-24
更新日期:2003-07-01

受影响系统:
Microsoft Windows Media Player 9.0
    - Microsoft Windows 2003 Web Edition
    - Microsoft Windows 2003 Standard Edition
    - Microsoft Windows 2003 Enterprise Edition 64-bit
    - Microsoft Windows 2003 Enterprise Edition
    - Microsoft Windows 2003 Datacenter Edition 64-bit
    - Microsoft Windows 2003 Datacenter Edition
不受影响系统:
Microsoft Windows Media Player XP
Microsoft Windows Media Player 7.1
Microsoft Windows Media Player 7
Microsoft Windows Media Player 6.4
描述:
BUGTRAQ  ID: 8034
CVE(CAN) ID: CVE-2003-0348

Windows Media Player 9系列包含一个ActiveX控件允许WEB页面作者建立WEB页面来播放媒体文件并通过用户控制版面来提供用户接口。当用户浏览嵌入媒体WEB页时,ActiveX控件提供用户接口允许用户对媒体执行暂停,前进等控制操作。

Windows Media Player 9系列不充分检查控件对媒体库的访问,远程攻击者可以利用这个漏洞未授权访问有此漏洞的用户媒体库。

ActiveX控件提供对用户计算机上的信息访问时存在缺陷,攻击者可以通过脚本代码调用ActiveX控件,诱使用户访问时,查看或操作用户计算机上包含在媒体库中的数据。

要利用此缺陷,攻击者可以构建恶意页面,诱使用户访问站点。攻击者也可以把恶意链接嵌入到HTML形式的EMAIL中并发送给用户触发。

此漏洞只允许攻击者访问用户计算机上的媒体库,攻击者不能访问用户的硬盘或者密码等信息。攻击者也不能修改用户硬盘上的文件,但可以修改媒体库相关的文件内容。也可能通过媒体文件目录路径来判断登录用户的用户名。

<*来源:jelmer (jelmer@kuperus.xs4all.nl
  
  链接:http://www.microsoft.com/technet/security/bulletin/MS03-021.asp
*>

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS03-021)以及相应补丁:
MS03-021:Flaw In Windows Media Player May Allow Media Library Access(Q819639)
链接:http://www.microsoft.com/technet/security/bulletin/MS03-021.asp

补丁下载:

Microsoft Windows Media Player 9.0:

Microsoft Patch Q819639
http://microsoft.com/downloads/details.aspx?FamilyId=36814221-8194-4492-BB29-94DB3D4CB682&displaylang=en
Windows Media Player 9 Series for Windows 98/98SE/Me Windows 2000 SP2, SP3, SP4 Windows XP, SP1

Microsoft Patch Q819639
http://microsoft.com/downloads/details.aspx?FamilyId=82CD6192-15D8-4E28-9B14-F9B78FF01D8A&displaylang=en
Windows Media Player 9 Series on Windows Server 2003

浏览次数:3132
严重程度:2(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障