Microsoft ha rilasciato una patch cumulativa per Windows Media Player il lettore multimediale presente in tutti i sistemi operativi Microsoft da Windows 98 in poi che corregge tre vulnerabilità di sicurezza, oltre ad includere le precedenti patch.
La prima vulnerabilità, ad alto rischio, riguarda tutte le versioni del WMP ed è causata dalla modalità di gestione di alcuni tipi di licenze allegate a file protetti archiviati nella cache di Internet Explorer. La falla consentirebbe ad un aggressore l’esecuzione di codice e comandi locali: da remoto un cracker potrebbe modificare o cancellare dati o cambiare la configurazione del computer.
La seconda vulnerabilità, a medio rischio, riguarda le ultime due versioni di WMP (7.1 e 8.0) ed è dovuta alla gestione del Windows Media Device Manager di richieste di accesso ai dispositivi locali di archiviazione. Un aggressore potrebbe riuscire ad entrare sulla console di sistema e, elevando i propri privilegi, prendere il controllo del sistema.
La terza e ultima falla, valutata come a basso rischio, interessa solo la versione 8.0 di WMP e riguarda il modo in cui il player archivia le informazioni legate alla playlist. Un aggressore potrebbe – in particolari circostanze – far girare script HTML sul computer dell’utente con gli stessi privilegi di quest’ultimo.
Microsoft ha reso noto inoltre che questa patch introduce anche una modifica nella configurazione relativa alle estensioni dei file associati a WMP e l’aggiunta di un’opzione che consente agli utenti di disabilitare completamente l’esecuzione di script nel WMP 7.x o successivi.
