网络安全性软件供应商GFI(总部：英国伦敦)于11月23日宣布，发现了Windows ME(Millennium Edition)中附带的Windows Media Player 7中存在着安全漏洞“WMS Script Execution”，并且通知了微软公司。当Windows ME的用户使用Windows Media Player 7浏览Web网站或者打开用HTML书写的电子邮件时，存在着允许起动恶意用户编写的有害代码的可能性。微软也承认了这一事实，并且在该公司的安全公告板(Microsoft Security Bulletin)上向用户发出了警告(编号MS00-090。其中还涉及到对Windows Media Player 6.4和7都有影响的“ASX Buffer Overrun”问题)。

　　Windows Media Player 7被标准捆绑到Windows ME中，此外也可以在微软公司的下载网站上免费下载。该软件配备具有改变界面的Skinning功能，使用该功能可以在远程电脑上执行程序代码。

　　GFI公司发现，恶意用户可以利用这一功能，通过将有害程序代码潜伏在Web网站和HTML电子邮件后在他人的电脑上起动这些代码。这一问题是由于Media Player的Skin文件(.wmz)中埋入Java Script文件(.js)而发生的(Skin文件则被埋入到Windows Download文件(.wmd)中)。由于Media Player文件是通过利用iframe标记(Tag)以及脚本标记内的windows.open自动执行的，因此据说即使不打开附件(Attachment)，只是下载信息内容也会起动有害的Java Script代码。

　　为了防止发生这种情况，对收到的电子邮件中包含WMD以及WMZ文件，需要使用过滤器删除Java Script、iframe标记、Metally Fresh标记以及Active X标记。GFI表示，使用该公司的“Mail essentials”那样具有确认电子邮件信息内容的网关软件就可以自动消除。(IT Pro)