Koncern z Redmond odrzuca doniesienia o tym, jakoby programowy odtwarzacz multimedialny tej firmy zawierał poważną lukę, umożliwiającą cyberatak na komputer użytkownika.
Niezależny ekspert, Laurent Gaffi, uważa, że luka w Windows Media Playerze może być wykorzystana przez odtworzenie w programie spreparowanego przez cyberprzestępcę pliku z rozszerzeniem WAV, SND lub MID. Systemy narażone na atak to jego zdaniem Windows XP i Vista.
Gaffi przekonywał - http://seclists.org/bugtraq/2008/dec/0247.html, że błędem obarczonych jest kilka wydań WMP, wliczając w to wersje 9, 10 i najnowszą, jedenastą. Do swojego zgłoszenia, zamieszczonego w serwisie Bugtraq, dołączył również przykładowy ( proof-of-concept ) kod, mogący służyć do zdalnego uruchomienia niebezpiecznego programu na zaatakowanej maszynie.
Microsoftowi nie spodobało się, że Gaffi opublikował informacje o luce przed poinformowaniem o niej firmy. Koncern uznał też jego twierdzenia za nieprawdziwe. Christopher Budd, przedstawiciel Microsoft Security Response Center, na łamach bloga oznajmił - http://blogs.technet.com/msrc/archive/2008/12/29/questions-about-vulnerability-claim-in-windows-media-player.aspx, że możliwość zdalnego uruchomienia kodu w zaprezentowany przez Gaffiego sposób nie występuje. Przyznał on jednak, że dołączony przez eksperta przykładowy kod powoduje zamknięcie Windows Media Playera, chociaż możliwe jest ponowne jego uruchomienie w sposób nie wpływający na stabilność pracy całego systemu.
Analizą problemu zajęła się również inna komórka giganta z Redmond, grupa Security Vulnerability Research and Defense - jej przedstawiciele, Jonathan Ness i Fermin Serna przekonują, że błędu w żaden sposób nie można wykorzystać - http://blogs.technet.com/swi/archive/2008/12/29/windows-media-player-crash-not-exploitable-for-code-execution.aspx do zdalnego ataku.
Firmie zdarzyło się - i to w tym roku - wycofać z wcześniejszych twierdzeń o nieszkodliwości pewnej luki. W kwietniu br. koncern ostrzegł o błędzie w Windows, który mógłby być wykorzystany przez cyberprzestępcę do zmiany uprawnień dostępu do komputera lokalnego, podczas gdy kilka tygodni wcześniej informował, że nie jest to luka w systemie.
