上周网络盛传Windows Media Player有个安全漏洞,可能让黑客通过执行远端程序操控电脑,但微软驳斥这种说法。
微软在公司博客上贴文表示,内部已针对此事展开调查,结果发现“不是实情”。微软在安全弱点研究与防御博客中指出,那个软件瑕疵是“稳定性的问题,不会对顾客造成任何安全风险”。
上周三安全研究人员Laurent Gaffie在Bugtraq安全电子通讯发表文章,指称Windows Media Player 9、10和11潜在安全漏洞。Gaffie说,这个安全漏洞可能让黑客制作变形的WAV、SND或MIDI文档,以便入侵一台安装Windows Vista或Windows XP操作系统的PC,并夹带一个验证概念的程序代码,据他研判可让黑客自远端遥控执行程序。
微软在发文否认的同时,也批评Gaffie未事先与微软接触,就迳自发表他的看法。微软说:
“这位安全研究员并未与我们直接接触或合作,就在公共邮递名单贴出他的报告附带验证概念的程序代码。报告发布后,其他的组织跟进报道,并指称问题出在Windows Media Player内含程序代码执行弱点。但那些指控是不实的,我们发现这问题不可能导致程序代码执行。验证概念的程序代码的确会导致Windows Media player当掉,这点没错;但这个应用程序可以马上重新启动,不会影响系统的其他部分。”
微软表示,这个软件瑕疵已在定期的软件维护中被指出来,并在Windows Server 2003 Service Pack 2矫正此问题。
