Wichtiges Update für Windows Media Player

Microsoft hat ein Update für den Windows Media Player veröffentlicht, das eine Sicherheitslücke bei der Verarbeitung von Streams schließt. In Audio- und Videostreams lassen sich Skript-Befehle einbetten, um beispielsweise weitere URLs (Webseiten) aufzurufen. Beim Abspielen öffnet der Player diese Seiten aber fälschlicherweise im Kontext der lokalen Zone, womit ausgeführte Skripte der aufgerufenen Seite Zugriff auf das System erhalten. Angreifer könnten damit beliebigen weiteren Code nachladen und auf dem System ausführen.

Nach Angaben von Microsoft ist dies kein Fehler im Programm-Code, sondern das eigentliche Verhalten sei beabsichtigt. Das Update ändert das Verhalten aller Player-Versionen unter Windows 2000, Windows XP und Windows Server 2003 -- nach Installation des Patches können Anwender beziehungsweise Administratoren über drei Registry-Einträge in HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences beeinflussen, wie der Media Player künftig URLs in Streams verarbeitet:

• PlayerScriptCommandsEnabled: Beeinflusst das Verhalten im Standalone-Player; 0 schaltet die URL-Scripts aus, Standard-Wert ist 0
• WebScriptCommandsEnabled: Beeinflusst das Verhalten des Players bei Einbettung in den Internet Explorer; 0 schaltet die URL-Scripts aus, Standard-Wert ist 1
• URLAndExitCommandsEnabled: Beeinflusst die Unterstützung der URL-Scriptkommandos URLAndExit; 0 schaltet die Unterstützung aus, Standard-Wert ist 1

Außerdem kann ein Script nach Installation des Patches nicht mehr in eine höhere Sicherheitszone wechseln als ursprünglich vorgesehen.

Warum Microsoft diesen Fehler nicht in wie die anderen Sicherheitslöcher in einem Security Bulletin beschreibt, sondern in einem Knowledge-Base-Artikel (KB828026), ist unklar. Ein entsprechender Hinweis auf das Problem fehlt auch auf der Security-Seite von Microsoft.

Siehe dazu auch: (dab)

• Knowledge-Base-Artikel (KB828026) von Microsoft