Уязвимое место в медиа-проигрывателях производства Microsoft и RealNetworks может позволить злоумышленникам создавать MP3-файлы, которые запускают браузер без согласия пользователя и активизируют вредоносные скрипты.
О таком неприятном открытии сообщил в понедельник NewsBytes — журналисты издания прочли о такой возможности на одной из сетевых конференций. В одном из сообщений значилось, что при проигрывании песни лос-анжелесской группы Lifehouse в формате МРЗ встроенный код запускает браузер, который самостоятельно идет на порнографический сайт и открывает попутно неимоверное количество порнографических же поп-апов.
В результате небольшого расследования NewsBytes пришел в выводу, что достаточно создать медиа-файл в родном формате любого из двух проигрывателей и переименовать так, чтобы расширение файла стало .mp3. То есть проигрыватель, например Windows Media Player, игнорирует изменение расширения и проигрывает файлы с расширением .МРЗ как родные WMA-файлы. Опасность же заключается в том, что оба производителя встроили в свои форматы функции, позволяющие включать в медиа-презентации гиперссылки на сайты и запускать JavaScript.
Таким образом, известные дыры в Internet Explorer, позволяющие запускать компоненты ActiveX и исполняемые команды, можно теперь эксплуатировать, создавая фальшивые МРЗ-файлы. При этом пользователь может даже не заподозрить подвоха, будучи уверенным в том, что он просто проигрывает обычный МРЗ-файл, и ничего не подозревая о таящейся в недрах «медиа-презентации».
Единственный способ борьбы с такой возможностью — отключение встроенных в медиа-плейеры функций, как это уже было сделано с Microsoft Outlook. Как известно, почтовая программа сама, без согласия пользователя, запускала браузер, который исполнял зловредные сценарии на странице.
 |
|
| ССЫЛКИ ПО ТЕМЕ | |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Сообщать о дырах нужно будет в установленном порядке — 26.02.02
Дыра .NET нашлась в механизме защиты от дыр — 15.02.02
Mazafaka.ru расковырял дыру в ICQ — 12.02.02
Microsoft заткнул шесть дыр в IE, включая русскую — 12.02.02
Дыра обнаружена не в Morpheus, а в головах пользователей — 05.02.02
ICQ пустит злоумышленника на ваш компьютер — 25.01.02
Ученые США требует закона, карающего за «дырявый» софт — 21.01.02
В Media Player спрятан шпион посильнее обычных cookies — 16.01.02
ФБР и Пентагон озабочены большой дырой в Windows XP — 24.12.01
Microsoft закрыла все дырки — 17.12.01
Антивирус McAfee отбивает память у Outlook Express — 29.10.01
Через дыру в визитке Outlook может нанести визит хакер — 26.02.01
«Дыры» в Internet Explorer уже никого не удивляют — 27.09.00