速報
Windows Media Playerのメタファイルに危険性
「.wax」などのファイルを悪用すると、Windows Media Player内部で任意のWebページを表示することができてしまうという。
AppleのQuickTimeの脆弱性情報を公開したハッカー組織の「GNUCITIZEN」が、今度はMicrosoftのメディア再生ソフトWindows Media Player(WMP)を悪用できてしまう問題を指摘した。
GNUCITIZENのサイトでは、WMPでプレイリストなどの表示に使われるメタファイル(.wax、.wvx、.asx、.wmxなどの拡張子が付いたファイル)は危険だと警告。メタファイルを構成するXMLに、悪用可能なタグを幾つか見つけたとしている。
このタグを悪用すると、攻撃者が任意のWebページをWindows Media Player内部で表示させることができてしまうという。
GNUCITIZENは、完全なパッチを当てたWindows XP SP2と、IE 6またはIE 7およびWindows Media Player 9がインストールされたシステムでこの問題を検証。たとえデフォルトのブラウザがFirefoxやOperaになっていても、メディアファイルを開けばIEの脆弱性にさらされてしまうという。
同サイトでは、.asxファイルを使ったコンセプト実証コードも公開している。
関連記事
- Visual Studioに深刻な脆弱性
- FirefoxとQuickTime悪用のエクスプロイトが公開
- Second Lifeにパスワード流出の脆弱性 アバター乗っ取りの恐れも
ユーザーが不正なWebページを訪れるとログイン情報が盗まれ、自分のアバターを乗っ取られてしまう恐れもある。
Copyright © ITmedia, Inc. All Rights Reserved.