该安全漏洞是在Windows Media Player 9 Series和Media Player on Windows Server 2003包含的ActiveX控件中发现的。如果在HTML文件中嵌入稳定型脚本,就能通过该漏洞访问媒体库中的信息。
具体来说,在媒体库中记录的“播放列表”中的内容有可能被人读取或改变。还有可能由媒体库中的信息来了解注册用户名。不过,能够访问的只是媒体库中的信息。不能访问保存在机器硬盘中的其他数据文件,更不能执行代码程序。
因此,此安全漏洞的严重等级被设置为“警告”级。可以通过调整安全信息页面中的选项避免执行脚本或者是通过“Windows Update”安装补丁程序可以进行修补。Media Player 9 Series可以安装到Windows 98/98SE/ME/2000 SP2/2000 SP3/2000 SP4/XP/XP SP1中。
另外,Windows Media Player 6.4/7.1/for Windows XP(8.0)不受此次安全漏洞的影响。但是6.4以下的版本不属微软支持对象,没有进行测试,因此不知道是否会受影响。
恶意使用安全漏洞需要使用脚本程序,虽然用户可以将Media Player“选项”窗口中把“安全”页标中的“如果提供了脚本命令,请运行它们”设置为无效(没有点选),但对此次发现的漏洞却是无效,因此用户须多加注意。
关注此文的读者还看过: