2月15日，微软安全中心发布了2006年2月漏洞安全公告：MS06-005危害等级为“严重”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS06-005
名称： Windows Media Player 中的漏洞可能允许远程执行代码
KB编号： 911565
等级：严重

摘要：

　　此更新可消除一个秘密报告的新发现漏洞。

　　如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

　　我们建议用户立即安装此更新。

受影响的软件：

·安装在 Windows 2000 Service Pack 4 上的 Microsoft Windows Media Player 7.1
·安装在 Windows 2000 Service Pack 4 或 Windows XP Service Pack 1 上的 Microsoft Windows Media Player 9
·安装在 Windows XP Service Pack 1 或 Windows XP Service Pack 2 上的 Microsoft Windows Media Player 10

不受影响的软件：

·所有 Microsoft Windows 操作系统上的 Windows Media Player 6.4
·Microsoft Windows Server 2003 Service Pack 1 上的 Windows Media Player 10
·Microsoft Windows XP Professional x64 Edition
·Microsoft Windows Server 2003（用于基于 Itanium 的系统）和 Microsoft Windows Server 2003 SP1（用于基于 Itanium 的系统）
·Microsoft Windows Server 2003 x64 Edition

受影响的组件：

·Microsoft Windows 2000 Service Pack 4 上的 Internet Explorer 5.01 Service Pack 4

严重等级和漏洞标识：

减轻影响的方式：

Windows Media Player 漏洞 (CVE-2006-0006) 的缓解因素：

·Windows Media Player 不是 .bmp 文件的默认处理程序。
·使用带有 Windows Media Player 7.1 的 Microsoft Windows 2000 Service Pack 4 或带有 Windows Media Player 8 的 Windows XP Service Pack 1 时，用户不容易遭受基于 Web 的攻击。 如果用户下载并安装了恶意的 Windows Media Player 皮肤文件，则仍容易受到攻击。
·在基于 Web 的攻击中，攻击者必须拥有一个网站，其中包含用来试图利用此漏洞的网页。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。 它还可能使用横幅广告或其他方式显示恶意 Web 内容，以便将 Web 内容传递至受影响的系统。
·在电子邮件攻击情形中，攻击者可以通过向用户发送特制的文件并诱使用户打开该文件来利用此漏洞。 Windows Media Player 不是 .bmp 文件的默认处理程序。 要发生利用，用户必须将 .bmp 文件保存到桌面并使用 Windows Media Player 打开该文件。
·成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。