Windows Media Player версий 7 и 8 уязвим к обходу каталога при
загрузке скин файлов через Интернет. Уязвимость позволяет удаленному пользователю
загружать произвольные файлы в произвольное местоположение на целевой
системе пользователя, просматривающего злонамеренную Web страницу.
Когда Internet Explorer загружает документ, имеющий MIME тип
"application/x-ms-wmz", он запускает wmplayer.exe с параметром "/layout",
который инструктирует Media Player загрузить скин файл в скин папку Media
Player. Чтобы предотвратить различные типы нападений, программа выбирает для
загружаемого скина случайное имя, чтобы атакующий не смог определить имя
загружаемого файла.
Недостаток, обнаруженный в Media Player, позволяет атакующему определить hex
кодированные последовательности обхода каталога '../', чтобы загрузить файл
в произвольное местоположение на целевой системе пользователя.
Если имя файла не заканчивается расширением ".WMZ", Media Player добавит это
расширение к концу файла. Однако, HTTP заголовок "Content-disposition" может
использоваться для обхода этого ограничения и загрузки файла с произвольным
расширением. Таким образом, атакующий может поместить любой файл с
произвольным именем и расширением в произвольное местоположение на системе
пользователя, к которому он имеет доступ. Нападающий не сможет перезаписать
предварительно существующие файлы. Уязвимость может эксплуатироваться
атакующим для выполнения различных нападений против целевого пользователя.
Уязвимость обнаружена в Windows Media Player versions 7 и 8. 9 версия не
уязвима.
