Der Sicherheitsforscher Armin Razmdjou hat herausgefunden, dass speziell präparierte Webseiten über das Mediaplayer-Plug-in im Kontext des Besuchers auf andere Sites zugreifen können. Die Angriffsseite könnte z.B. die URL http://de.mail.yahoo.com/ laden und die dort gespeicherten Mails abrufen, wenn sich ihr Besucher dort registriert und eingeloggt hat. Die sog. "Same Origin Policy" von Windows sollte dieses Probelm eigentlich verhindern, tut es aber nicht. Von heise Security konnte das Problem bereits nachvollzogen werden.
Über seine JavaScript-API läßt sich das WMP-Plug-in anweisen, eine beliebige Wiedergabeliste zu laden. Dies funktioniert von beliebigen Servern im Netz. Anhand der Dateiendung überprüft das WMP-Plug-in zwar, welches Format vorliegt, sollte der Server unter der URL anstatt einer Wiedergabeliste im m3u-Format aber eine Webseite zurück liefern, wird der HTML-Code der Webseite als Wiedergabeliste interpretiert.
Unter Windows ist das WMP-Plug-in standardmäßig für den Internet Explorer installiert. Bei Firefox und Chrome lässt es sich nachrüsten. Von dem Sicherheitsforscher wurde eine Demoseite eingerichtet, auf der man überprüfen kann, ob man selbst von dem Problem betroffen ist. Bis ein offizieller Patch herausgegeben wird, sollte man das Plug-in des Windows Media Players besser deaktivieren.
Wie heise Security berichtet, erklärte Microsoft nur, dass das Problem untersucht wird und alle nötigen Schritte eingeleitet werden, um die betroffenen Kunden zu schützen.