研究人员劳伦特·加菲(Laurent Gaffie)上周三在Bugtraq安全邮件列表上发表报告称,Windows Media Player 9、10和11中存在一处缺陷,黑客可以利用该缺陷创建恶意WAV、SND和MIDI文件,攻击运行Windows Vista或Windows XP的PC。加菲还公布了一段可远程执行代码的“概念验证代码”。
除了否认报告内容外,微软还对加菲在没有与其联系的情况下就公布所谓缺陷资料的做法提出了批评,“首先发现该所谓‘缺陷’的安全研究人员没有直接与我们联系,而是将附带有概念验证代码的报告公之于众。其它机构也采信了这份报告,称Windows Media Player中存在代码执行缺陷。这些说法是错误的。我们没有发现利用该缺陷执行代码的可能性,附带的概念验证代码确实能够造成Windows Media player崩溃,但用户可以立即重新启动Windows Media player,对系统其它部分不会产生任何影响。” 黑客
微软称,它已经在例行代码维护中发现该缺陷,并在Windows Server 2003中修正了该缺陷。