您现在的位置: 
微软的发言人声称他们正在调查这一事件。
Petko Petkov在发布了关于苹果公司的QuickTime系列产品的漏洞后,又发现微软的媒体播放软件同样也存在类似的问题,这有可能导致计算机被黑客劫持。在他的博客上,Petkov发布了几种以HTMLView value的XML标签漏洞为目标的攻击方式,这种XML标签主要是支持Windows Media Player形式的文件,包括.asx文件。
“HTMLView可以在单机Windows Media Player中展示我们对页面的选择,”Petkov说,“我重申一下,页面打开的时候将会展示整个Media Player的界面,而不仅仅是单机的浏览器。这种情况看起来很有意思。”
在一台运行Windows XP SP2系统使用IE6 或IE7的电脑上,Petkov能够强制Media Player打开恶意的URL。”他说。“这就是意味着即使你使用的是火狐浏览器(Firefox),你认为很安全,实则不然,当你打开一个多媒体文档的时候,你实际上已经将你IE浏览器上的所有缺陷都暴露给了黑客。”
Petkov将恶意的脚本代码植入到他所创建的页面里,然后将它放到他的博客上的Media Player的样本里。在他证明的过程中,脚本很轻易的就弹出一个window对话框告诉用户他的电脑已经受到威胁了。
Media Player 11会弹出一个确认对话框,可能一些用户会三思而后考虑是否允许恶意的文档访问程序,这和Media Player10版本是一样的。但是早前的版本,包括Media Player 9,却不会弹出类似的确认对话框,在没有警告用户的情况下就会直接允许运行恶意的文档。
Petkov表示,“攻击者很容易就会滥用这一技术。”
赛门铁克已经警告过客户关于Petkov的发现对于网络的威胁,包括Windows Media Player问题。“这些给我们提供了一个间接执行恶意的脚本代码的信号,在一些情况下,这是很难被过滤的。”赛门铁克在一份安全报告中说。
微软已经开始调查Petkov的发现,但是一位发言人对这一问题不以为然。“我们目前还没有发现利用这一漏洞的攻击行为,”他通过Email说。“我们将会修复漏洞,及时通知消费者保护好他们的系统。”
微软将会在10.9号的时候发布新的安全补丁。届时这一问题可能会得到解决。
到今年为止,Windows Media Playe还被发现了另外一个漏洞(在8月的时候已经修复了)。2006年的时候发现了三个漏洞。最新的Media Player 11是与vista捆绑销售的,从2006年发布到现在,还只被修复了一次补丁。
