Crackers podem usar arquivos maliciosos do Windows Media Player para explorar uma vulnerabilidade não corrigida no Internet Explorer - mesmo se o usuário usar outros navegadores, como Firefox e Opera, alertou uma consultoria britânica nesta quarta-feira (19/09).

Petko Petkov, pesquisador que já havia alertado para a falha no QuickTime que fez a Mozilla corrigir seu browser Firefox, afirmou que o software de mídia da Microsoft também tem um bug que pode ser usado para seqüestrar os PCs.

No seu blog, Petkov publicou diversas amostras dos ataques que se foca em uma vulnerabilidade na tag XML "HTMLView value", usada no suporte de diversos formatos de arquivos Windows Media Player, incluindo ".asx".

Em um sistema com Windows XP totalmente atualizado usando seja o IE6 ou IE7, Petkov afirmou que forçou o Windows Media Player a abrir uma URL maliciosa. "Mesmo que você use o Firefox e ache que está seguro, apenas abrir uma arquivo de mídia pode lhe expor a todas as brechas do IE".

Petkov integrou códigos maliciosos em páginas criadas por ele e então injetou no Media Player as amostras publicadas em seu blog. Em suas demonstrações, o malware apresenta uma janela pop-up afirmando que a máquina foi comprometida.

A Microsoft está investigando as alegações de Petkov, mas uma porta-voz diminuiu o impacto da ameaça. "Não sabemos de nenhum ataque usando esta suposta brecha", afirmou por e-mail. "Tomaremos medidas para determinar como clientes podem se proteger, caso a vulnerabilidade seja confirmada".

A próxima atualização de segurança da Microsoft está planejada para o dia 09 de outubro.

O Windows Media Player foi alvo de outra falha crítica neste ano, corrigida pela Microsoft em agosto, enquanto foram três em 2006. O novo Media Player 11, integrado ao Windows Vista, foi lançado em outubro de 2006 e teve apenas uma correção.