VULHUB ™

Windows Media Player 9系列包含一个ActiveX控件允许WEB页面作者建立WEB页面来播放媒体文件并通过用户控制版面来提供用户接口。当用户浏览嵌入媒体WEB页时，ActiveX控件提供用户接口允许用户对媒体执行暂停，前进等控制操作。 Windows Media Player 9系列不充分检查控件对媒体库的访问，远程攻击者可以利用这个漏洞未授权访问有此漏洞的用户媒体库。 ActiveX控件提供对用户计算机上的信息访问时存在缺陷，攻击者可以通过脚本代码调用ActiveX控件，诱使用户访问时，查看或操作用户计算机上包含在媒体库中的数据。 要利用此缺陷，攻击者可以构建恶意页面，诱使用户访问站点。攻击者也可以把恶意链接嵌入到HTML形式的EMAIL中并发送给用户触发。 此漏洞只允许攻击者访问用户计算机上的媒体库，攻击者不能访问用户的硬盘或者密码等信息。攻击者也不能修改用户硬盘上的文件，但可以修改媒体库相关的文件内容。也可能通过媒体文件目录路径来判断登录用户的用户名。

Windows Media Player 9系列包含一个ActiveX控件允许WEB页面作者建立WEB页面来播放媒体文件并通过用户控制版面来提供用户接口。当用户浏览嵌入媒体WEB页时，ActiveX控件提供用户接口允许用户对媒体执行暂停，前进等控制操作。 Windows Media Player 9系列不充分检查控件对媒体库的访问，远程攻击者可以利用这个漏洞未授权访问有此漏洞的用户媒体库。 ActiveX控件提供对用户计算机上的信息访问时存在缺陷，攻击者可以通过脚本代码调用ActiveX控件，诱使用户访问时，查看或操作用户计算机上包含在媒体库中的数据。 要利用此缺陷，攻击者可以构建恶意页面，诱使用户访问站点。攻击者也可以把恶意链接嵌入到HTML形式的EMAIL中并发送给用户触发。 此漏洞只允许攻击者访问用户计算机上的媒体库，攻击者不能访问用户的硬盘或者密码等信息。攻击者也不能修改用户硬盘上的文件，但可以修改媒体库相关的文件内容。也可能通过媒体文件目录路径来判断登录用户的用户名。