Schwere Winamp-Sicherheitslücke bei IE-Nutzung

Sicherheitsloch in Winamp erlaubt Programmausführung über den IE

Das Sicherheitsunternehmen Secunia warnt vor einem gefährlichen Sicherheitsloch in Winamp, worüber Angreifer unbemerkt schadhaften Programmcode auf fremden Systemen einschleusen und ausführen können. Dazu müssen Opfer nur dazu gebracht werden, komprimierte Winamp-Skin-Dateien im Internet Explorer zu öffnen.

Artikel veröffentlicht am ,

Die Ursache für das Sicherheitsleck sind unzureichende Beschränkungen beim Öffnen von komprimierten Winamp-Skin-Dateien (.wsz). So kann die Skin-Datei ein XML-Dokument aufweisen, was auf eine HTML-Datei verweist, die dann in der lokalen Zone des Rechners ausgeführt werden kann. Mit Hilfe des Object- und Codebase-Tag kann die HTML-Datei dann beliebige ausführbare Dateien starten.

Stellenmarkt
  1. SAP SuccessFactors Berater (m/w/x)
    über duerenhoff GmbH, Raum Freiburg
  2. UX/UI Designerin Frontend Entwicklung (m/w/d)
    Techniker Krankenkasse, Hamburg
Detailsuche

Wird eine entsprechend formatierte wsz-Datei über den Internet Explorer geladen, wird das Sicherheitsleck ohne weiteres Zutun des Anwenders ausgenutzt und der Angreifer erhält so eine weitreichende Kontrolle über ein fremdes System. Nach Secunia-Angaben wird diese Sicherheitslücke bereits aktiv ausgenutzt, weitere Angaben wurden dazu aber nicht gemacht.

Das Sicherheitsleck wurde in Winamp 5.04 sowie mit dem Internet Explorer 6.0 unter Windows XP mit dem Service Pack 1 beobachtet. Bislang steht kein Patch zur Abhilfe des Problems bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

Stuart 23. Sep 2004

... aber das beinhaltete nicht den Security Fix, dafür aber eine Menge anderer Bugs...

Hendrik 16. Sep 2004

Tatsache :-)

signor.e 31. Aug 2004

darfst Du ja, aber hier so rumzublöken...

Hunter 29. Aug 2004

Version 5.05 ist da. http://www.heise.de/newsticker/meldung/50480

fischkuchen 29. Aug 2004

Dein Geseiere ist auch nicht gerade etwas das man unbedingt lesen muss :P Geh du doch mal...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /