Охотники за багами предупреждают, что песни, распространяемые через веб, могут оказаться червивыми. Музыкальные плееры позволяют передавать веб-адреса и скрипты — основные ингредиенты саморазмножающихся цифровых паразитов.

Червя можно заполучить вместе с песней, проигрываемой на ряде популярных медиаплееров, включая Windows Media Player от Microsoft и RealPlayer от RealNetworks. «Внутри музыкальных файлов может находиться мобильный код, — говорит консультант по компьютерной безопасности Ричард Смит (Richard Smith). — Это означает потенциальную возможность возникновения проблем безопасности нового класса, аналогичных макровирусам в документах Word или проблемам, связанным с применением ActiveX или JavaScript в файлах HTML. Введение кода в файл данных всегда чревато проблемами».

Эксплойт, использующий музыкальные файлы, должен опираться на одну из известных уязвимостей веб-браузера. Однако сообщения о потенциальной проблеме пробудили старую обеспокоенность по поводу возможности для злоумышленников «отравить среду» в таких системах обмена файлами, как Gnutella, MusicCity/Morpheus, Kazaa и др.

О потенциальной проблеме заговорили на этой неделе после дискуссии в списке почтовой рассылки Bugtraq, где речь зашла о музыкальном файле, который после открытия начинает плодить всплывающие окна с рекламой порносайта. Кроме непристойностей, эти окна продемонстрировали экспертам по безопасности потенцию поддерживать встроенные скрипты.

Антивирусная компания Trend Micro заметила, что когда-то уже указывала на эту проблему, но до сих пор она оставалась чисто теоретической угрозой. Microsoft и RealNetworks также говорят, что они занимаются этой проблемой. «В данном случае мы наблюдаем... пример использования легитимной возможности не по назначению, — сказал ведущий продакт-менеджер отделения Windows Digital Media Division Майкл Олдридж (Michael Aldridge). — Мы изучаем этот вопрос. Один из способов защиты для пользователей — не загружать файлы из непроверенных источников».

RealNetworks тоже его изучает, но похоже, что это проблема музыкальных файлов в целом и корень ее кроется не в медиаплеерах, а в уязвимости веб-браузеров. «JavaScript можно встроить в любой URL и даже в файл МР3, — говорит вице-президент RealNetworks Боб Кимбалл (Bob Kimball). — Наш плеер не имеет никакого специального механизма обработки JavaScript; мы используем для этого браузер, который управляет JavaScript в соответствии с выбранными пользователем параметрами безопасности».

Безопасность или функциональность?

Налицо классический размен между безопасностью и функциональностью. Позволив медиаплееру читать скрипты и открывать веб-страницы, Microsoft охватила самый широкий круг потенциальных пользователей. «Введение адресов URL в цифровые медиафайлы и помещение на веб-страницу ActiveX-элемента для управления Windows Media Player позволяют создавать мощные синхронизированные презентации, удобные и наглядные для вашей аудитории, — говорится на сайте Microsoft. — Используя элемент ActiveX в скрипте, вы можете создать веб-страницы, разбитые на фреймы. Один фрейм может содержать встроенный элемент ActiveX для воспроизведения аудио- или видеолекции, а другой будет синхронно с ней отображать контент в соответствии с адресами URL, содержащимися в цифровом медиапотоке. Это могут быть учебные материалы, диаграммы, комментарии или задачи из веба».

По словам Олдриджа, Microsoft к проблеме потенциальной уязвимости медиафайлов отнесется со всей серьезностью, рассматривая ее в свете объявленной в прошлом месяце инициативы Trustworthy Computing по повышению безопасности своих продуктов. Представитель Trend Micro Дэвид Пэрри (David Parry) сказал, что его компания не занимается сканированием медиафайлов и не будет этого делать до тех пор, пока проблема не перейдет из разряда потенциальных в разряд реальных. «Обычно я не паникую, когда кто-нибудь сообщает о подобных вещах, — ответил он. — Существуют тысячи нереализованных потенциальных угроз. Пока это лишь теоретическая проблема, а если она станет реальной, обратитесь к своему поставщику антивируса: когда определится конкретная угроза, он найдет что-нибудь для защиты от нее».

RealNetworks, как и Microsoft, рекомендует позаботиться о своей безопасности, загружая музыкальные файлы только из проверенных источников. «Многие скачивают МР3 из ненадежных мест, — говорит вице-президент RealNetworks Алекс Албен (Alex Alben). — Они обмениваются друг с другом и берут файлы на тех сайтах, которые практикуют обмен по системе P2P (peer-to-peer). Вполне возможно, что найдется злоумышленник, который попытается воспользоваться этим».

Microsoft и RealNetworks совместно с другими компаниями работают над разнообразными проектами по распространению цифровой музыки по подписке.

	Библиотека Интернет Индустрии I2R.ru	Малобюджетные сайты... Продвижение веб-сайта... Контент и авторское право...
Забобрить! Блог		Поиск:	Рассылки для занятых...»

Библиотека Интернет Индустрии I2R.ru

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Опасайтесь музыкальных червей