Media Player : méfiez-vous des skins !

Depuis mercredi dernier un patch pour Windows Media Player est disponible sur le site US de Microsoft. Un seul patch, mais deux failles de sécurités différentes. La première, ainsi que l’indique Microsoft sur son site, est liée au support par le Media Player du format ASX (Active stream redirector), le format de streaming « maison ». L’ennui, c’est que le script pour l’exécution d’un fichier ASX ne vérifie pas la mémoire tampon, ce qui permet à un utilisateur malveillant d’introduire un programme sur la machine d’un autre utilisateur. De la sorte, il est possible d’envoyer un fichier infecté pour qu’il s’exécute ensuite ou même de le poster sur un site Web afin qu’il se lance automatiquement. Ensuite le pirate peut faire ce qu’il veut de la machine qu’il contrôle. Cette faille touche aussi bien la version 6.4 du Media Player que la 7.

Prise de contrôle par skin interposé

L’autre faille n’affecte que la version 7. Elle est directement liée à l’emploi des skins, les interfaces graphiques personnalisables. Or un skin, au format WMS, peut être infecté par un script s’exécutant automatiquement lors de son chargement. Tout comme avec les fichiers ASX, un script « malveillant » peut être automatiquement lancé chez les utilisateurs visitant un site hébergeant le code. Cela permet au « pirate » d’exécuter des contrôles ActiveX et d’accéder ainsi à toutes les fonctions liées à ces programmes, ce qui lui confère une grande liberté de manoeuvre dans l’ordinateur de sa « victime ». A bon entendeur…

A l’heure où nous rédigeons ces lignes, Microsoft France restait injoignable. Impossible donc de savoir si le patch US fonctionne avec une version française du Media Player. En attendant vous pouvez télécharger le précédent correctif de sécurité du Windows Media Player.