A falha envolve "um problema de confiabilidade sem qualquer risco de segurança para os usuários", declarou a Microsoft.

De acordo com o pesquisador Laurent Gaffi, a vulnerabilidade poderia ser usada por hackers munidos de arquivos alterados de áudio com as terminações .wav, .snd ou .mid para comprometer PCs rodando os sistemas operacionais Windows Vista ou XP.

Diversas edições do Windows Media Player, incluindo as versões  9, 10 e 11, a mais recente, estão vulneráveis segundo o alerta de Gaffi enviado em 24 de dezembro à lista de e-mails de segurança Bugtraq. Gaffi também incluiu uma prova de conceito do ataque que poderia ser usado para a execução remota de um código malicioso na máquina da vítima.
 
A Microsoft refutou a  descoberta de Gaffi e o repreendeu por ter publicado informações sobre a falha antes de reportá-la aos pesquisadores de segurança da empresa.

"As alegações [de Gaffi] são falsas" disse Christopher Budd, porta-voz do Microsoft Security Response Center, na tarde de segunda-feira (29/12) em um post no blog do MSRC. "Não encontramos qualquer possibilidade de execução remota de código neste problema."

Budd reconheceu que a amostra de código enviada por Gaffi é capaz de travar o Windows Media Player, mas disse que o programa pode ser reiniciado sem afetar o restante do sistema.

Pesquisadores do grupo Security Vulnerability Research and Defense (SVRD) da Microsoft também reduziram o impacto do alerta de Gaffi em outro blog com detalhes técnicos, na segunda-feira. "Este bug não pode ser alçado à execução arbitrária de código" disseram Jonathan Ness e Fermin Serna do grupo SVRD. Segundo eles, os pesquisadores da Microsoft já haviam identificado o bug antes e corrigido o problema no pacote de atualizações Service Pack 2 do Windows Server 2003.

A Microsoft já se enganou em desmentir bugs, anteriormente. Em abril, por exemplo, a companhia teve de voltar atrás sobre um alerta de segurança envolvendo uma falha no Windows, que a empresa havia negado três semanas antes. Embora a falha tenha sido ativamente explorada desde meados de outubro, o problema ainda está sem correção pela empresa.