Tal y como indicábamos, los sistemas con Windows
Media Player cuya versión sea anterior a la 7 se encuentran fuera de
peligro.
Son muchos los lectores que se han dirigido a nosotros para indicarnos
que, tras visitar la página de demostración, sus sistemas se
presentaban vulnerables ante la prueba de Guninski, aun cuando su
versión del reproductor multimedia es la 6.x. En realidad se trata
de un efecto óptico, si nos fijamos con atención podemos comprobar que
en ningún momento se consuma la vulnerabilidad.
Cuando visualizamos la página web demostración de Guninski aparece
un cuadro que nos avisa que va a leer el fichero c:test.txt. A
continuación, se abre una nueva ventana de Internet Explorer con el
contenido de ese fichero. Este paso parece ser el causante de la
confusión, en realidad esto no representa vulnerabilidad alguna.
Es simplemente el resultado de una sencilla e inofensiva orden que
hace uso del m’todo window.open de JavaScript:
window.open(«file://c:/test.txt»,»georgi»);
Si nos fijamos en el lado derecho de la barras de estado, en las dos
ventanas de Internet Explorer que se encuentran abiertas en ese
momento (esquina inferior derecha), en la inicial aparece «Internet»,
y en la segunda que se abre con el contenido del fichero se puede
leer «Mi PC». Es decir, son dos zonas de seguridad diferentes, y el
contenido que alberga la p gina «Mi PC» en local no est accesible
para la ventana de «Internet». No se puede leer el contenido del
fichero c:test.txt desde Internet, hasta este momento no hay
vulnerabilidad.
La vulnerabilidad se demuestra cuando aparece una ventana de alerta
con el contenido del fichero c:test.txt, ya que esta ventana es
lanzada desde la p gina inicial que se encontraba en la zona de
«Internet». En ese momento los datos locales han pasado a dominio
de Internet, y la vulnerabilidad se consuma. Es el resultado de
la llamada al control ActiveX de Windows Media Player 7
anteriormente declarado, que recoge la informaci¢n de la ventana
local («MiPC»), segon la orden:
document.o1.object.launchURL(«javascript:alert(document.body.innerText)»);
Para que los usuarios puedan observarlo de una forma m s gr fica,
a continuaci¢n pueden visualizar el resultado de la demostraci¢n
en un entorno vulnerable (Windows Me):
http://www.hispasec.com/vulnerable.gif
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=801
M s informaci¢n:
01/01/2001 – Grave vulnerabilidad en Windows Media Player 7
http://www.hispasec.com/unaaldia.asp?id=799
Demostraci¢n de la vulnerabilidad
http://www.guninski.com/wmp7ie.html
Windows Media Player 7 and IE vulnerability – executing arbitrary programs
http://www.guninski.com/wmp7ie-desc.html
Bernardo Quintero
bernardo@hispasec.com
http://www.hispasec.com
