Microsoft Windows媒体组件SPN实现远程代码执行漏洞（MS08-076）

BUGTRAQ ID: 32653
CVE(CAN) ID: CVE-2008-3009

Windows媒体组件包括Windows Media Player、Windows Media Format Runtime和Windows Media Services等多种服务和应用。

Windows媒体组件在使用NTLM认证协议（具体来说，是SPN）的方式存在安全漏洞。在访问媒体之前，服务器会提示一些使用Windows媒体组件的媒体播放器（如Windows Media Player）要求进行认证，然后客户端会在响应中发送当前用户的凭据，可能为使用NTLM的凭据。如果服务器为恶意服务器的话，就可能使用所接收到的NTLM凭据对客户端执行反射攻击。

请注意Windows Media媒体组件是区分区域的，也就是说在从服务器检索媒体时，要判断服务器是处于本地Intranet区还是Internet区。处于Internet区中的服务器是不受信任的，未经提示用户Windows媒体组件不会向该区中的服务器发送NTLM凭据。因此，如果要利用SPN漏洞，攻击者必须处于本地Intranet（也就是与受害用户处于同一子网）或能够诱骗系统用Internet中的机器执行NTLM认证。

Microsoft Windows Media Player 6.4
Microsoft Windows Media Services 9.1
Microsoft Windows Media Services 9.0 Series
Microsoft Windows Media Services 4.1
Microsoft Windows Media Services 2008
Microsoft Windows Media Format Runtime 9.5
Microsoft Windows Media Format Runtime 9
Microsoft Windows Media Format Runtime 7.1
Microsoft Windows Media Format Runtime 11
Microsoft

Microsoft已经为此发布了一个安全公告（MS08-076）以及相应补丁:
MS08-076：Vulnerabilities in Windows Media Components Could Allow Remote Code Execution (959807)
链接：<a href=“http://www.microsoft.com/technet/security/Bulletin/ms08-076.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/ms08-076.mspx?pf=true</a>