Winamp-Sicherheitsloch doch weiterhin offen

Aktuelle Winamp-Version stopft Sicherheitsleck nicht. Die am gestrigen 23. November 2004 bekannt gewordene Winamp-Sicherheitslücke wird entgegen den Versprechungen des Herstellers mit der aktuellen Version der Software nicht behoben. Somit bleibt derzeit nur als Lösung, das Angriffsszenario durch Komfort-Einbußen zu umgehen.

24. November 2004 um 11:21 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Der Entdecker des Sicherheitslochs in Winamp, Brett Moore, weist ausdrücklich darauf hin(öffnet im neuen Fenster) , dass das Sicherheitsleck auch noch in Winamp 5.06 steckt. Mit dieser Version sollte die Sicherheitslücke eigentlich geschlossen werden – das jedenfalls verspricht der Hersteller.

Das Sicherheitsleck steckt in der Winamp-Datei "in_cdda.dll", über die ein Buffer Overflow ausgelöst werden kann, was dann die Ausführung beliebigen Programmcodes ermöglicht. Ein Angreifer muss dazu lediglich eine manipulierte Playlisten-Datei im Format .m3u etwa auf einer Webseite zum Download bereitstellen oder per E-Mail versenden und seine Opfer so zum Öffnen dieser Datei bringen, um sich eine umfassende Kontrolle über ein fremdes System zu verschaffen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Softwareentwickler Backend (m/w/d) boTec GmbH, Wiesbaden (öffnet im neuen Fenster)

Software Entwickler für Automatisierte Testsysteme (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Configuration Management Engineer (m/w/d) Advantest Europe GmbH, Böblingen (öffnet im neuen Fenster)

Senior Consultant / Auditor (m/w/d) - Informationssicherheit (ISO 27001 / BSI) IT-Security Coach GmbH, Olpe (öffnet im neuen Fenster)

IT-Anwendungsmanager (m/w/d) Vollmachtensysteme ivv GmbH, Hannover (öffnet im neuen Fenster)

IT-Programm Manager (m/w/d) DG Nexolution eG, Wiesbaden (öffnet im neuen Fenster)

Topic Analyst (m/w/d) Schwarz Digits, Neckarsulm (öffnet im neuen Fenster)

Das Sicherheitsloch wurde für die Winamp-Version 5.05 bestätigt und ist auch – entgegen den Herstellerangaben – in Winamp 5.06 zu finden. Ob das Sicherheitsleck auch in früheren Winamp-Versionen steckt, ist bislang nicht bekannt. Um das Sicherheitsloch zu umgehen, kann man die Dateizuweisungen von Winamp mit den Endungen .cda und .m3u deaktivieren, was dann allerdings die Bedienung der Software beeinträchtigt.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Winamp-Sicherheitsloch gestattet Code-Ausführung

Aktuelles Winamp 5.06 behebt Sicherheitsleck. In der Multimedia-Software Winamp wurde eine schwere Sicherheitslücke gefunden, über die etwa mit manipulierten Playlisten-Dateien beliebiger Programmcode ausgeführt werden kann. In einer aktuellen Winamp-Version wurde der Fehler mittlerweile bereinigt, so dass sich Nutzer von Winamp diese Version installieren sollten.

Relevante Themen