Vulnérabilités

Une faille majeure pour Windows Media Player.

Par Jerome Saiz, le 07 mai 2003 à 20:11:00.

Le lecteur multimédia de Microsoft souffre d'un problème de peau : le téléchargement de skins, ces fichiers qui permettent de modifier à volonté l'apparence du programme, permet aussi à un pirate d'installer n'importe quoi sur votre PC, de manière totalement invisible. La faille est, bien sûr, jugée critique par Microsoft et un correctif est disponible.

Windows Media Player 7.1 et 8 (la version de Windows XP) ouvrent à nouveau grand la porte du PC aux pirates. Aujourd'hui, il s'agit d'une faille critique découverte dans la fonction de téléchargement des skins, ces fichiers qui permettent de donner au lecteur des apparences plus originales.
De nombreuses "peaux" sont offertes gratuitement sur Internet, et le Windows Media Player peut les télécharger lui-même, sans grande intervention de l'utilisateur.
Hélas, il ne semble pas vraiment faire la différence entre de véritables skins et des fichiers malicieux. Il est donc possible pour un pirate de créer un faux fichier de skin qui soit en réalité un code exécutable et, en modifiant son nom d'une certaine manière, de le déposer n'importe où sur le disque de sa victime... et de l'exécuter.
Toute la procédure est automatique et silencieuse, invisible pour l'utilisateur selon la société Online Solutions à l'origine de la découverte.
La faille est très importante, car Windows Media Player est installé par Microsoft manu-militari sur tous les Windows, et de fait très utilisé. Il est conseillé d'installer au plus vite le correctif publié par l'éditeur.

Plus d'information

L'alerte et le correctif sur le site de Microsoft

Une faille majeure pour Windows 2000 et IIS. (18 mars 2003)
Une faille majeure pour Windows... tous les Windows. (11 fév 2004)
Une nouvelle faille majeure pour Windows. (14 juil 2004)
Deux failles graves pour Windows XP SP2. (25 oct 2004)
Une nouvelle faille incroyable pour Windows XP. (20 déc 2002)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres