微软媒体播放器7"skins"下载漏洞
发布日期:2001-02-20
更新日期:2001-02-20
受影响系统:
描述:
Windows Media Player 7
微软的媒体播放器7中存在一个安全问题,可能允许恶意攻击者在另外一个用户
的主机上运行他指定的程序。
媒体播放器7中的一个特色是"skins",允许用户定制媒体播放器的外观。如果一
个媒体播放器skin(.WMZ)文件被从一个恶意的web站点下载,潜在地,它可以在本
地主机上运行Java代码并浏览本地文件。问题在于"skins"总是被下载到受害者计
算机上的一个已知的路径下,并且以.zip压缩包的格式保存。如果此.zip包包含
一个Java class文件,这个类中的任意Java代码都可以在本地计算机安全区中运
行。如果一个.WMZ文件被从一个恶意站点下载,可能导致压缩的Java代码被保存
到参观者主机的已知地点,因此通过在一个恶意站点的HTML页面或者将发送恶意
的HTML格式的email,都可能导致java 代码在参观者主机上运行,并执行任意命令。
<*来源:Microsoft Security Bulletin MS01-010:
"Windows Media Player Skins File Download" Vulnerability
*>
建议:
临时解决方法:
NSFOCUS建议您按微软提供的解决方法去做:
1. 禁止运行Java
2. 在浏览恶意站点或者打开从未知来源发来的email时要小心
厂商补丁:
微软已经发布了为此一个安全公告以及相关补丁。
微软安全公告(MS01-010):
http://www.microsoft.com/technet/security/bulletin/MS01-010.asp
补丁下载:
Microsoft Windows Media Player 7:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27961
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
