Media Playerissä haavoittuvuus - vai onko?

  • Article

Suomessakin raportoitiin viikonloppuna ja alkuviikosta (mm. CERT.FI:n haavoittuvuustiedote) Windowsin Media Playeristä löydetystä haavoittuvuudesta, joka raporttien mukaan antaa hyökkääjälle mahdollisuuden suorittaa haluaamansa ohjelmakoodia kohteena olevassa järjestelmässä. Hyökkääjä voisi raportin mukaan hyödyntää haavoittuvuutta houkuttelemalla käyttäjän avaamaan tietyllä tavalla muotoillun WAV-, SND- tai MIDI-tiedoston. Haavoittuvuuden tiedot oli alunperin raportoitu SecurityFocuksen sivuilla jo jouluaattona.

Microsoftilla tällainen raportti aiheuttaa aina ilmoitetun haavoittuvuuden tutkimisen. Tämä tapahtuu riippumatta siitä, miten saamme tiedon - normaalisti haavoittuvuuksien löytäjä ilmoittaa asiasta suoraan MSRC:lle (Microsoft Security Response Center), joka sitten tutkii raportoituja tietoja ja tutkinnan tuloksena päättää, mitä asialle pitää tehdä. Tässä tapauksessa löytäjä kuitenkin päätti ilmoittaa asiasta julkisesti SecurityFocuksen sivuilla. Tietojen julkistustavasta huolimatta MSRC käynnisti haavoittuvuuden tutkinnan jo joulunpyhinä, ja viime yönä tutkimuksen tulos julkistettiin MSRC:n blogissa:

Kyseessä ei ole tietoturvahaavoittuvuus, koska se EI anna hyökkääjälle mahdollisuutta suorittaa haluamaansa ohjelmakoodia. Alkuperäisessä raportissa kuvatulla tavalla muotoillun tiedoston avaaminen Media Playerissä aiheuttaa kyllä Media Playerin kaatumisen, mutta se EI aiheuta muistivirhettä, joka mahdollistaisi hyökkääjän haluaman ohjelmakoodin suorittamisen. Alkuperäinen raportti on siis virheellinen.

Lisätietoja voi lukea MSRC:n blogin lisäksi myös Security Vulnerability Research and Defense -blogista.  

Ylläpitäjät voivat siis huokaista helpotuksesta - tähän ongelmaan ei ole tulossa uutta tietoturvapäivitystä, normaalissa aikataulussa tai muuten. Bugi toki korjataan jonkin tulevaisuuden päivityksen yhteydessä - itse asiassa näin on tehty jo Windows Server 2003:n SP2:ssa.

Mitä tästä voidaan opita? No, ainakin se, että tällaisten haavoittuvuustietojen osalta kannattaa aina olla ensin yhteydessä kyseessä olevan ohjelmiston valmistajaan.