Xmco Partners : Prise de contrôle d’un système via une vulnérabilité du lecteur Windows Media Player 10
septembre 2008 par XMCO PARTNERS
* Windows Media Player 10 wmpband.dll Stack Overflow Exploit
– Date : 24 Septembre 2008
– Plateforme : Windows
– Programme : Windows Media Player
– Gravité : Urgente
– Exploitation : Avec une page web malicieuse
– Dommage : Accès au système
– Description :
Une vulnérabilité a été découverte sur le lecteur multimédia Windows Media Player. L’exploitation de celle-ci permet à un attaquant distant de prendre le contrôle du système sous-jacent.
Le problème résulte d’un mauvais contrôle au sein du fichier "wmpband.dll". Un attaquant distant peut provoquer un débordement de mémoire afin d’exécuter un code malicieux.
Cette faille de sécurité est actuellement exploitée sur internet.
La preuve de concept ci-dessous permet d’exécuter la calculette de Windows :
– Vulnérable :
* Windows Media Player 10
– Référence :
[1] http://securityreason.com/exploitalert/4750
[2] http://support.microsoft.com/kb/240797
– Correction :
Dans l’attente d’un correctif officiel, nous vous recommandons vivement de désactiver le contrôle ActiveX suivant, au niveau de la base de registre, selon la méthode proposée par Microsoft dans l’article [2].
0A4286EA-E355-44FB-8086-AF3DF7645BD9
Vous pouvez suivre la procédure proposée par Microsoft ou directement copier/coller le texte suivant sous un fichier .reg puis double-cliquer dessus :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX CompatibilityC932BA85-4374-101B-A56C-00AA003668DC]
"Compatibility Flags"=dword:00000400
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1222257091