Winamp-Sicherheitsloch doch weiterhin offen

Aktuelle Winamp-Version stopft Sicherheitsleck nicht

Die am gestrigen 23. November 2004 bekannt gewordene Winamp-Sicherheitslücke wird entgegen den Versprechungen des Herstellers mit der aktuellen Version der Software nicht behoben. Somit bleibt derzeit nur als Lösung, das Angriffsszenario durch Komfort-Einbußen zu umgehen.

Artikel veröffentlicht am ,

Der Entdecker des Sicherheitslochs in Winamp, Brett Moore, weist ausdrücklich darauf hin, dass das Sicherheitsleck auch noch in Winamp 5.06 steckt. Mit dieser Version sollte die Sicherheitslücke eigentlich geschlossen werden - das jedenfalls verspricht der Hersteller.

Stellenmarkt
  1. Inhouse Berater SAP HCM / SuccessFactors (w/m/d)
    TÜV SÜD Gruppe, München
  2. Embedded C++ Software Entwickler (m/w/d)
    RMG Messtechnik GmbH, Beindersheim (Raum Mannheim)
Detailsuche

Das Sicherheitsleck steckt in der Winamp-Datei "in_cdda.dll", über die ein Buffer Overflow ausgelöst werden kann, was dann die Ausführung beliebigen Programmcodes ermöglicht. Ein Angreifer muss dazu lediglich eine manipulierte Playlisten-Datei im Format .m3u etwa auf einer Webseite zum Download bereitstellen oder per E-Mail versenden und seine Opfer so zum Öffnen dieser Datei bringen, um sich eine umfassende Kontrolle über ein fremdes System zu verschaffen.

Das Sicherheitsloch wurde für die Winamp-Version 5.05 bestätigt und ist auch - entgegen den Herstellerangaben - in Winamp 5.06 zu finden. Ob das Sicherheitsleck auch in früheren Winamp-Versionen steckt, ist bislang nicht bekannt. Um das Sicherheitsloch zu umgehen, kann man die Dateizuweisungen von Winamp mit den Endungen .cda und .m3u deaktivieren, was dann allerdings die Bedienung der Software beeinträchtigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


HeVTiG 10. Dez 2004

Ich hatt bis vor kurzem auch noch die 2.8 laufen. Dort hatte ich aber zum Schluss...

N!Ce 24. Nov 2004

Ich benutze auch 2.81 und bin noch voll zufrieden. :)

Hibakusha 24. Nov 2004

Jup, die media libary ist echt gut. Ist zwar immer etwas aufwand sich da die...

Hotohori 24. Nov 2004

Jo, ich benutze hin und wieder auch den Mediaplayer, aber in der guten Version 6.4...

Hotohori 24. Nov 2004

Die 3er Version flog bei mir damals auch sehr schnell wieder von der Platte, von der 5er...



Aktuell auf der Startseite von Golem.de
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben

Leichte und billige Satelliten, die auch zu Mond und Mars fliegen können: Aerospace Corp hat den neuen Standardformfaktor Disksats entwickelt.
Von Frank Wunderlich-Pfeiffer

Von Cubesats zu Disksats: Satelliten als fliegende Scheiben
Artikel
  1. Full Self Driving: Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen
    Full Self Driving
    Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen

    Die Testversion des Full-Self-Driving-Pakets sollen nur Tesla-Fahrer nutzen dürfen, deren Fahrverhalten einwandfrei ist.

  2. Umweltfreundlicher Sattelschlepper: Iveco und Nikola starten E-Lastwagen-Produktion in Ulm
    Umweltfreundlicher Sattelschlepper
    Iveco und Nikola starten E-Lastwagen-Produktion in Ulm

    Die Nikola-Zugmaschine Tre mit Elektroantrieb soll zunächst für den US-Markt gefertigt werden, später auch für Europa.

  3. Echtzeit-Strategie: Age of Empires 4 braucht nicht die schnellste Hardware
    Echtzeit-Strategie
    Age of Empires 4 braucht nicht die schnellste Hardware

    Die vollständigen Specs für den Technik-Test von Age of Empires 4 liegen vor. Spieler können ab heute Abend in die Historie eintauchen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance LPX DDR4-3200 16 GB 63,74€ und 32 GB 108,79€ • Alternate (u. a. Creative SB Z SE 71,98€, Kingston KC2500 2 TB 181,89€ und Recaro Exo Platinum 855,99€) • Breaking Deals mit Club-Rabatten • ASUS ROG Crosshair VIII Hero WiFi 269,99€ • iPhone 13 vorbestellbar [Werbung]
    •  /