Загрузка произвольных файлов в произвольное местоположение в Microsoft Windows Media Player

Когда Internet Explorer загружает документ, имеющий MIME тип "application/x-ms-wmz", он запускает wmplayer.exe с параметром "/layout", который инструктирует Media Player загрузить скин файл в скин папку Media Player. Чтобы предотвратить различные типы нападений, программа выбирает для загружаемого скина случайное имя, чтобы атакующий не смог определить имя загружаемого файла.

Недостаток, обнаруженный в Media Player, позволяет атакующему определить hex кодированные последовательности обхода каталога ‘../’, чтобы загрузить файл в произвольное местоположение на целевой системе пользователя.

Если имя файла не заканчивается расширением ".WMZ", Media Player добавит это расширение к концу файла. Однако, HTTP заголовок “Content-disposition” может использоваться для обхода этого ограничения и загрузки файла с произвольным расширением. Таким образом, атакующий может поместить любой файл с произвольным именем и расширением в произвольное местоположение на системе пользователя, к которому он имеет доступ. Нападающий не сможет перезаписать предварительно существующие файлы. Уязвимость может эксплуатироваться атакующим для выполнения различных нападений против целевого пользователя.

Уязвимость обнаружена в Windows Media Player versions 7 и 8. 9 версия не уязвима.