Thema: Windows Media Player diverses

[SiLæncer]

Das ActiveX-Control des Windows Media Player 9 enthält zwei Schwachstellen, mit der sich Systeme ausspähen und die Daten in Media-Dateien verändern lassen. Durch einen Fehler der Funktion getItemInfoByAtom() kann ein Angreifer feststellen, ob bestimmte Dateien auf dem PC vorhanden sind und diese Informationen für weitere Angriffe verwenden. Mit den Funktionen setItemInfo() und getItemInfo() ist es möglich, in Musikdateien den Namen des Künstlers, des Albums und des Liedes zu überschreiben.

Nach Angaben des Entdeckers der Fehler, Arman Nayyeri, ließe sich so beispielsweise JavaScript in eine Datei schleusen, das beim Parsen mit dem Internet Explorer in der lokalen Zone ausgeführt wird. Allerdings erlärt Nayyeri in seinem Advisory nicht, wieso ein Browser eine Musik-Datei öffnen soll. Immerhin beschreibt er einen Demonstrationsexploit, die Lücke, um ihn auszunutzen, sucht er indes nach eigenen Angaben noch. Die Fehler sind im ActiveX-Control des Windows Media Player 10 nicht mehr zu finden. Alternativ hilft auch das Abschalten von ActiveX.

Quelle : www.heise.de

[SiLæncer]

Nach gefakten MP3s, die in Klang, Länge und Inhalt stark vom Originaltrack abweichen, bringt die Musikindustrie nun offenbar auch Musikstücke über Tauschbörsen in den Umlauf, die durch eine Hintertür im Windows Media Player Pop-ups im Internet Explorer öffnen und Ad-ware installieren können. Das berichtet die Zeitschrift PC World in ihrer Online-Ausgabe. Den Stein ins Rollen brachte dem Bericht zufolge eine Datei, die eigentlich ein Video des Titels "Fallin'" aus Alicia Keys Album "Songs In A Minor" enthalten sollte, dann aber den Windows Media Player dazu veranlasste, eine Seite des Software-Dienstleisters Overpeer abzurufen, die wiederum zahlreiche Fenster mit Werbeeinblendungen und Ad-ware öffnete.

Die Firma Overpeer, eine Tochter des Online-Musikdienstleister Loudeye, ist den Tauschbörsianern schon länger ein Dorn im Auge. Nach eigenen Angaben vertreibt das US-Unternehmen "Anti-Piraterie-Lösungen", die sich nahtlos in die bekannten File-Sharing-Netze einklinken lassen, und den Overpeer-Kunden nicht nur einen Einblick in die Tauschaktivitäten der P2P-Nutzer gewähren, sondern auch die Verbreitung urheberrechtlich geschützter Inhalte verhindern können. Über 25 Milliarden illegaler Downloads will Overpeer nach eigenen Angaben auf diesem Wege Monat für Monat unterbinden. Über die Funktionsweise des Verfahrens schweigen sich die New Yorker allerdings aus. Ein Loudeye-Sprecher hat laut PC World unterdessen eingestanden, dass die betreffende WMA-Datei ihren Ursprung bei Loudeye genommen hat.

Auf Nachfrage von PC World wolle die Digital-Rights-Abteilung von Microsoft nun prüfen, ob derlei Dateien im Einklang mit den Lizenzbestimmung des Windows Media Player stehen. Microsoft werde nichts billigen, was vorgibt ein bestimmter Inhalt zu sein, sich dann aber als etwas anderes entpuppt, zitiert das Magazin einen Microsoft-Sprecher. Die Hintertür solle dem Sprecher zufolge allerdings kein Bug, sondern ein Feature sein: Findet der Player beim Aufruf eines DRM-geschützten Songs oder Videos keine passende Lizenz auf dem Computer, informiere er darüber einen Windows Media DRM Server. Auf diesem Wege sei es unter anderem möglich, Dialogboxen darzustellen, die es dem Anwender gestatten, eine Webadresse anzusteuern und dort eine Abspiellizenz zu erwerben. Die Dialogbox sei allerdings nichts anderes als ein Fenster des Internet Explorer, so die Erläuterung des Sprechers weiter.

Wer demnach auf Nummer sicher gehen und nicht in Overpeers Ad-ware-Fallen tappen möchte, verwendet einfach einen anderen Standardbrowser, beispielsweise den beliebten und frei erhältlichen Firefox.

Quelle : www.heise.de

[SiLæncer]

Der Hersteller von Antivirenprodukten Panda Software weist auf zwei Trojaner hin, die sich der neuen DRM-Technik (Digital Rights Management) im Windows Media Player 10 unter XP mit Service Pack 2 bedienen, um Systeme zu infizieren. Bereits Anfang Januar gab es erste Hinweise, das bestimmte WMV-Dateien beim Abspielen Ad- und Spyware installieren.

Ist eine Mediadatei lizenzgeschützt und eine Lizenz lokal nicht vorhanden, so versucht der Player, diese aus dem Netz nachzuladen. Dazu öffnet er ein Browserfenster, meist den Internet Explorer, und ruft die Seite des jeweiligen Herausgebers auf. Allerdings kam es bei Dateien, die vom Software-Dienstleister Overpeer stammen, dazu, dass Anwender beim Abspielen mit ungewünschten Werbe-Pop-ups überhäuft wurden.

Nach Angaben von Panda Software enthalten die über P2P-Netze verteilten Dateien von Overpeer zusätzlich den Trojaner Trj/WmvDownloader.A. Beim Öffnen im Media Player täuscht die Datei vor, eine Lizenz laden zu wollen. Stattdessen lenkt sie den Browser auf eine weitere Web-Seite um, die versucht, auf dem PC Adware, Spyware, Dialer und andere Viren per automatischem Download zu installieren. Auch die vom Dienstleister Protectmedia herausgegebenen Dateien sollen einen ähnlichen Schädling enthalten (Trj/WmvDownloader.B).

Ein Sprecher von Overpeer erklärte, man habe nichts mit derlei Malware zu tun. Die von ihnen verbreiteten Dateien würden nur auf legale Online-Musik-Shops führen. Overpeer ist unter anderem von Herstellern damit beauftragt, falsche Musikstücke (Decoy Files) als Köder in Filesharing-Netzen zu verteilen. Wer die trojanisierten Mediadateien in Umlauf gebracht habe, wisse man bei Overpeer auch nicht.

Medienberichten zufolge erklärte Microsoft, dass automatische Downloads unter Windows XP mit Service Pack 2 in den Voreinstellungen blockiert würden. In älteren Versionen könne man sich durch das Setzen der Sicherheitseinstellungen auf "Hoch" schützen. Es gebe auch keinen Weg, den Anwender zum Ausführen solcher Downloads zu zwingen. Zudem sei das Problem weder auf Fehler im Media Player noch auf eine Schwachstelle im DRM zurückzuführen.

Allerdings sind in der Vergangenheit mehrfach Sicherheitslücken im Internet Explorer bekannt geworden, bei der allein der Besuch einer Webseite ausreicht, um Trojaner und Dialer untergeschoben zu bekommen. Erst beim letzten Patch-Day veröffentlichte Microsoft ein Sicherheits-Update, um genau solch eine Lücke in allen IE6-Versionen zu schließen.

Microsoft will das Problem jedenfalls weiter verfolgen. Man sei besorgt, wie die DRM-Funktion nun mißbraucht werde. Die Redmonder planen ein Update für den Windows Media Player herauszugeben, das das automatische Öffnen von Web-Seiten verhindern soll.

Quelle : www.heise.de

[Jürgen]

Man sollte auch in Betracht ziehen, generell auf DRM-"geschützte" Inhalte zu verzichten, denn das ist meist auf Dauer nicht billiger als der Erwerb einer CD bzw. DVD, die haben zudem wenigstens bis jetzt kein Verfallsdatum und sind nicht an die Hardware gebunden. Deren Preise gehen auch meist mit der Zeit deutlich zurück.
Es wäre doch sehr ärgerlich, beim Wechsel des PCs alle gekaufte Musik nochmals bezahlen zu müssen...
Insofern sehe ich auch immer noch keinen echten Grund für einen Windows Media Player über Version 6.4 (mplayer2.exe), es sei denn, man kann nicht mehr ohne quietschbunte Ressourcen-Fresser mit Hang zum Nach-Hause-Telefonieren.
Insbesondere schreibt der 6.4 kein langes Protokoll über alle aufgefundenen Multimedia-Inhalte auf dem Rechner, zur freien Verfügung für M§...
Wer mehr Funktionen will, wird sicher allerlei Anderes finden, es ist ohnehin sinnvoller, Software zu verwenden, die nicht so nah' am (M$-)Betriebssystem arbeitet.

[Jürgen]

Microsoft hat ein Update für den Windows Media Player veröffentlicht. User sollen dadurch offensichtlich besser vor Trojanern und Spyware geschützt werden, die sich der Technik fürs Digital Rights Management im Windows Media Player 10 unter XP mit Service Pack 2 bedienen, um Systeme zu infizieren.

Microsoft zufolge installiert das Update zwei Komponenten mit zusätzlichen Integritätschecks für das DRM-System. Außerdem können Lizenzaussteller nun die Rechner der Nutzer überprüfen, ob sie Updates gefahren haben, bevor sie Lizenzen vergeben oder erneuern. Auch die DRM-Popups sind nun vom User besser kontrollierbar. Das Sicherheitsloch um die Spyware-Infektionen mittels DRM-System wird bei dem Update allerdings nicht explizit erwähnt.

Außerdem soll dieses Update eine Schwachstelle des Kopierschutzes schließen. Laut einem japanischen Magazin soll ein Programmierer namens Lark eine Software geschrieben haben, die den Piraterie-Schutz aushebelt. Allerdings sind die Details dazu vage und die Software im Web nicht mehr verfügbar.

Siehe dazu auch:

    * Update für DRM-fähige Medienplayer (KB891122) im Microsoft Download Center
    * Update for Windows Media Digital Rights Management-enabled players, Details zum Update auf den englischen Microsoft-Seiten
    * Trojaner in Windows-Media-Dateien

(eck/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/56478

...wenn man die quietschbunte hungrige und beredtsame Geschichte wirklich zu brauchen meint  
sollte man auf jeden Fall updaten.

Jürgen

[SiLæncer]

Angreifer können möglicherweise mit manipulierten Webseiten eine Schwachstelle in den Verarbeitungsroutinen für ASX-Playlisten der Windows-Media-Player 9 und 10 zum Einschleusen von beliebigen Schadcode ausnutzen. Eine erste Meldung der Lücke ließ nur auf einen Denial-of-Service gegen die betroffenen Windows Media Player schließen. Der Sicherheitsdienstleister eEye hat jedoch eine Analyse nachgelegt und kommt zu dem Schluss, dass Angreifer möglicherweise Code durch die Schwachstelle einschleusen können.

Der Fehler tritt in der Bibliothek wmvcore.dll auf. Beim Verarbeiten von ref href-Tags, die auf die abzuspielenden Datenströme verweisen, kann ein Puffer überlaufen. Die Adresse wird in einen Puffer umkopiert und dabei der Protokoll-Handler auf mms: geändert; bei der Kopieroperation wird jedoch nur soviel Speicher reserviert, wie für die ursprüngliche URI nötig wäre. Zwar weist die Funktion Protokoll-Handler mit nur einem Buchstaben ab, jedoch können Angreifer den Check durch Kodierung etwa in Form von %20 für Leerzeichen umgehen. Dadurch können manipulierte URIs bis zu vier Bytes auf dem Heap überschreiben.

In Webseiten eingebettete ASX-Dateien werden im Internet Explorer automatisch wiedergegeben, was das Problem verschärft. eEye empfiehlt, bis zur Verfügbarkeit eines Patches von Microsoft die automatische Wiedergabe von ASX-Playlisten zu deaktivieren. Dazu können betroffene Anwender etwa im Windows Explorer unter "Extras" in den "Ordneroptionen" auf der Registerkarte "Dateitypen" die Wiedergabeoption für ASX auf etwas anderes als den Windows Media Player stellen, beispielsweise Wordpad.

Siehe dazu auch:

    * Windows Media ASX PlayList File Denial Of Service Vulnerability, Sicherheitsmeldung auf Bugtraq
    * Analyse von eEye

Quelle und Links : http://www.heise.de/security/news/meldung/82166

[SiLæncer]

 Eine Meldung auf Security Tracker berichtet von einer sicherheitsrelevanten Schwachstelle im Windows Media Player bis hin zur aktuellen Version 11. Tatsächlich ließ sich der Multimedia-Player mit einer nach dem auf der Website aufgeführten Exploit gebauten WAV-, SND- oder MIDI-Datei in einem ersten Test von heise security gezielt zum Absturz bringen – und zwar sowohl in der Version 9 unter Windows XP mit Service Pack 2 als auch in der Fassung 11 unter XP mit Service Pack 3.

Nach Meinung von Laurent Gaffie, der die Lücke auf SecurityTracker gemeldet hat, lässt sich die Lücke auch zum Einschleusen und Starten von Code missbrauchen. Ob das wirklich so ist, wird sich vermutlich bald zeigen: Oft tauchen sehr schnell echte Exploits auf -- wie sich zuletzt bei der IE-Lücke gezeigt hat. Für die Zero-Day-Lücke im Internet Explorer hat Microsoft inzwischen ein Sicherheits-Update geliefert, für die jetzt von Laurent Gaffie gemeldete Schwachstelle im Windows Media Player liegt noch keine Lösung vor.

Quelle : http://www.heise.de/newsticker/Weitere-Schwachstelle-im-Windows-Media-Player--/meldung/120952

[SiLæncer]

In dem Blog zu "Security Vulnerability Reserach & Defense" hat Microsoft zu dem unlängst entdeckten Bug im Windows Media Player Stellung bezogen. Eine fehlende Fehlerbehandlung (Exception Handler) im Modul quartz.dll sei die Ursache. Entsprechend präparierte WAV-, SND- und MID-Dateien können die Exception "Divison durch Null" herbeiführen und mangels Behandlungsroutine in quartz.dll so den Media-Player zum Absturz bringen. Eine Möglichkeit, dadurch Fremdcode zur Ausführung zu bringen, gebe es damit jedoch nicht, betonte Microsoft. Der Fehler war Microsoft auch schon bekannt und in der Version für Windows Server 2003 SP2 bereits behoben, für andere Windowsversionen soll er spätestens mit den kommenden Service Packs ausgemerzt werden.

Microsoft-Mitarbeiter Christopher Budd bedauerte, dass der Finder Laurent Gaffie diesen Fehler gleich an die "große Glocke" gehängt habe, statt zuvor Microsoft zu kontaktieren. So machten dann zu Weihnachten viele Meldungen die Runde, man könne auf diese Weise Exploits via Media Player einschleusen – alles Falschmeldungen, wie Microsoft versichert.

Es steht zu vermuten, dass es noch zahlreiche weitere Angriffsmöglichkeiten für "Crash-Ware" durch eine gezielte Provokation nicht abgefangener Exceptions gibt. Zu Windows-98-Zeiten konnte man damit nicht nur die Applikation, sondern zuweilen sogar den Rechner zum Absturz bringen.

Quelle : www.heise.de

[SiLæncer]

Im Rahmen des vergangenen Patch-Days haben die Entwickler von Microsoft unter anderem eine kritische Schwachstelle geschlossen, die den Windows Media Player betrifft. Inzwischen wird diese Lücke aktiv angegriffen.

Roland Dela Paz vom Sicherheitsdienstleister 'Trend Micro' macht darauf aufmerksam, dass diese Sicherheitslücke aktiv ausgenutzt wird. Da es sich um ein so genanntes Drive-by-Exploit handelt, welches in diesem Zusammenhang zum Einsatz kommt, soll das Öffnen einer entsprechend manipulierten MIDI-Datei (Musical Instrument Digital Interface) für einen erfolgreichen Angriff ausreichen.

Angreifer könnten auf diese Weise vollständigen Zugriff auf diese Systeme der Opfer erhalten und weiteren Schadcode nachladen. Die Malware, die sich im Anschluss daran auf den Systemen befindet, erkennt Trend Micro als TROJ_DLOAD.QYUA. Gegenwärtig sind die Sicherheitsexperten noch mit einer genauen Analyse dieses Trojaners beschäftigt. Doch schon jetzt lässt sich sagen, dass der Schadcode auch ein Rootkit installieren kann.

Darüber hinaus teilte Trend Micro mit, dass man aktuell noch nicht von einem groß angelegten Angriff sprechen kann. Bekanntlich könnte sich dies jedoch schon in absehbarer Zeit ganz grundsätzlich ändern. Ferner nehmen die Angreifer keine bestimmte Gruppe von Personen oder ein bestimmtes Unternehmen mit diesen Attacken ins Visier.

Neben dem allgemein gültigen Ratschlag, keine Links aus dubiosen Quellen zu öffnen, ist es immer empfehlenswert, die Windows-Systeme im Hinblick auf die Patches und Updates, die jeden Monat veröffentlicht werden, auf einem aktuellen Stand zu halten.

Quelle : http://winfuture.de/

[Jürgen]

Das erstaunt mich sehr und wirft wirklich kein gutes Licht auf den Player.

MIDI-Dateien gehören an sich zu den beschränktesten Formaten, die es überhaupt gibt.
Sowohl zulässige Werte, als auch deren mögliche Bedeutungen und Längen, alles ist sehr präzise definiert.
Sonst wäre nicht schon seit Jahrzehnten auch die bidirektionale Kommunikation mit diversen MIDI-Geräten möglich, und ebenso lange die Speicherung auf Disketten ohne PC.
Und es gibt darin keine Freitext-Passagen, keine aktiven Komponenten oder Bilder oder Sound Samples oder Macros, keine Maschinencodes für Computerkomponenten oder für Betriebssysteme.
Noten, Takt, Gains, Effekte, sonst nix.

Halbwegs flexibel definiert sind lediglich die Kennung für verschiedene MIDI-Varianten /-Erweiterungen, wie z.B. Yamaha XG, Roland usw., und Spezialparameter für diese.
Für diese Angaben sollten sich natürlich nur Anwendungen interessieren, die diese auch zu interpretieren wissen.
Dazu gehört aber der WMP definitiv nicht.
Der verarbeitet nur General MIDI, ignoriert nachvollziehbar alle anderen Befehle.
Das ist so von Anfang an und gilt auch noch heute.
Wie also kann man dann irgendwelche unbekannten Daten aus MIDI-Dateien anderswohin agieren lassen, nur nie dahin, wo sie u.U. gebraucht würden...

Mir scheint wieder einmal, diese Programmierer haben ihren ganz eigenen Mix aus Sorg- und Ahnungslosigkeit  

Habe nämlich früher ziemlich viele MIDI-Dateien editiert, fehlerbereinigt, an Hard- oder Software angepasst usw., und dabei den WMP stets als unflexibelsten und primitivsten aller verfügbaren Player erlebt.
Dafür konnte man ihm allerdings auch MIDI-Dateien mit falschen Endungen wie z.B. .wav andrehen  

Gibt es eigentlich auch schon Schädlinge für DMX 512 ?

Jürgen

[SiLæncer]

VirusTotal kann nun dabei helfen, Betrugsversuche durch Video- und Musikdateien im ASF-Format aufzudecken. ASF bietet die Möglichkeit, URLs einzubetten, die beim Abspielen der Mediendatei automatisch geöffnet werden. Der Erkennungsdienst schlüsselt auf, wohin die URLs in den Mediendateien verweisen – ein Service, den Antivirenprogramme bisher nicht bieten.

ASF-Dateien enthalten meistens WMA, WMV und MP3 und können über Microsofts Digital Rights Management (DRM) überprüfen, ob Nutzer Lieder oder Videos legal erworben haben. Möchte ein Nutzer eine solche Datei abspielen, prüft der Windows Media Player die Lizenz der Dateien. Im ASF werden dafür auch Informationen abgelegt, die zu einer Klärung der Lizenzfragen beitragen können – also entsprechende Links zu Herstellerseiten.

Betrüger präparieren nun ein ASF so, dass der Nutzer ohne sein Zutung zu einer Seite geschickt wird, die ihm eine verseuchte Datei zum Download anbietet. Dieser Download wird etwa als Plug-in ausgegeben, das der Nutzer vermeintlich zum Abspielen des Videos installieren muss. Dabei enthält die Datei aber einen Trojaner. Beim Abspielen solcher Dateien kann auch automatisch eine Webseite geöffnet werden, die Browser und Plug-Ins mit einem Exploit-Kit auf bekannte Sicherheitslücken abklopft.

Nutzer können bei VirusTotal verdächtige ASF-Dateien bis zu einer Dateigröße von 64 MByte hochladen.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsforscher Armin Razmdjou hat herausgefunden, dass speziell präparierte Webseiten über das Mediaplayer-Plug-in im Kontext des Besuchers auf andere Sites zugreifen können. Die Angriffsseite könnte etwa unsichtbar h++ps://mail.google.com/mail laden und die dort gespeicherten Mails abgreifen – vorausgesetzt, ihr Besucher ist dort registriert und eingeloggt. Dies sollte die Same Origin Policy eigentlich verhindern. heise Security konnte das Problem nachvollziehen.

Über seine JavaScript-API lässt sich das WMP-Plug-in anweisen, eine beliebige Wiedergabeliste zu laden – auch von anderen Servern wie etwa hxxp://example.com/Playlist.m3u. Dabei überprüft das Plug-in anhand der Dateiendung, um welches Format es sich handelt. Liefert der Server unter der URL statt einer Wiedergabeliste im m3u-Format eine Webseite zurück, interpretiert das Plug-in den HTML-Quelltext als Wiedergabeliste; die einzelnen Zeilen versteht es dabei jeweils als Song.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Danke für den Hinweis.

Zwar ist der IE hier nicht Standardbrowser, und (bewusst) benutzt wird er sowieso nicht, aber er ist ja trotz EU-Browserauswahl in 7 noch voll funktionsfähig vorhanden.
Und das WMP-Plugin war darin bis eben auch noch aktiv.
Das kam wahrscheinlich mal mit irgendeinem Update, denn nach der Installation des Rechners hatte ich natürlich alles unnütze abgestellt oder gleich ganz rausgeworfen.
Vor wenigen Monaten erst...

Firefox meldet fehlendes Plugin 
Opera macht einfach gar nix