Алексей Рерих
Уязвимое место в медиа-проигрывателях производства Microsoft и RealNetworks может позволить злоумышленникам создавать MP3-файлы, которые запускают браузер без согласия пользователя и активизируют вредоносные скрипты.
О таком неприятном открытии сообщил в понедельник NewsBytes – журналисты издания прочли о такой возможности на одной из сетевых конференций. В одном из сообщений значилось, что при проигрывании песни лос-анжелесской группы Lifehouse в формате МРЗ встроенный код запускает браузер, который самостоятельно идет на порнографический сайт и открывает попутно неимоверное количество порнографических же поп-апов.
В результате небольшого расследования NewsBytes пришел в выводу, что достаточно создать медиа-файл в родном формате любого из двух проигрывателей и переименовать так, чтобы расширение файла стало .mp3. То есть проигрыватель, например Windows Media Player, игнорирует изменение расширения и проигрывает файлы с расширением .МРЗ как родные WMA-файлы. Опасность же заключается в том, что оба производителя встроили в свои форматы функции, позволяющие включать в медиа-презентации гиперссылки на сайты и запускать JavaScript.
Таким образом, известные дыры в Internet Explorer, позволяющие запускать компоненты ActiveX и исполняемые команды, можно теперь эксплуатировать, создавая фальшивые МРЗ-файлы. При этом пользователь может даже не заподозрить подвоха, будучи уверенным в том, что он просто проигрывает обычный МРЗ-файл, и ничего не подозревая о таящейся в недрах “медиа-презентации”.
Единственный способ борьбы с такой возможностью – отключение встроенных в медиа-плейеры функций, как это уже было сделано с Microsoft Outlook. Как известно, почтовая программа сама, без согласия пользователя, запускала браузер, который исполнял зловредные сценарии на странице.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Сообщать о дырах нужно будет в установленном порядке – 26.02.02
Дыра .NET нашлась в механизме защиты от дыр – 15.02.02
Mazafaka.ru расковырял дыру в ICQ – 12.02.02
Microsoft заткнул шесть дыр в IE, включая русскую – 12.02.02
Дыра обнаружена не в Morpheus, а в головах пользователей – 05.02.02
ICQ пустит злоумышленника на ваш компьютер – 25.01.02
Ученые США требует закона, карающего за “дырявый” софт – 21.01.02
В Media Player спрятан шпион посильнее обычных cookies – 16.01.02
ФБР и Пентагон озабочены большой дырой в Windows XP – 24.12.01
Microsoft закрыла все дырки – 17.12.01
Антивирус McAfee отбивает память у Outlook Express – 29.10.01
Через дыру в визитке Outlook может нанести визит хакер – 26.02.01
“Дыры” в Internet Explorer уже никого не удивляют – 27.09.00