WMP 10, il pericolo giunge dalle playlist

Windows Media Player soffre di una grave vulnerabilità al momento riscontrata nella versione 10.00.00.4036 ma potenzialmente presente anche nelle altre release del software. Da sottolineare come Microsoft abbia già rilasciato la versione 11 del player, ma nessuna conferma giunge al momento circa la salubrità della nuova edizione.

Il problema è stato identificato nell’interpretazione di particolari file di formato ASX. Un possibile exploit (proof-of-concept disponibile, ma nessun attaccato al momento denunciato) potrebbe causare Denial of Service o, secondo le indicazioni da bollettino Secunia (SA22971), accesso da remoto al sistema.

La scoperta è accreditata a “sehato” e l’unica soluzione al momento ipotizzabile, non essendo disponibile una specifica patch, è una particolare attenzione nell’apertura di playlist non sicure. Microsoft assicura solerti indagini sul problema, ma ogni intervento è da attendersi per il primo appuntamento del 2007 in quanto l’aggiornamento dicembrino è ormai imminente.

In data 12 Dicembre le patch del mese (le ultime per il 2006) saranno disponibili per l’utenza Microsoft nella quantità di 5 per Microsoft Windows ed una per Microsoft Visual Studio. L’apposito comunicato anticipato specifica inoltre come vari aggiornamenti “non-security” saranno disponibile contemporaneamente tramite Microsoft Update.