Sony BMG zieht XCP-Musik-CDs aus dem Handel (Update)
Ein finnischer Computerstudent hat ein großes Sicherheitsrisiko(öffnet im neuen Fenster) entdeckt, das durch den Deinstaller der XCP-Software entsteht. Die XCP-Entwickler First 4 Internet haben einen solchen Deinstaller veröffentlicht, nachdem bekannt wurde, dass das System Arbeitsweisen verwendet, die man sonst nur von Schadsoftware kennt. Aus diesem Grund erkennen die meisten Virenscanner das DRM-System bereits als Schadsoftware und löschen diese bei Bedarf.
Im Unterschied zum XCP-Deinstaller von First 4 Internet muss man als betroffener Nutzer den Virenscanner nicht erst umständlich anfordern, denn First 4 Internet bietet den Deinstaller weiterhin ausschließlich auf Nachfrage an. In Anbetracht des Sicherheitsrisikos, das der Deinstaller verursacht, scheint dieses Vorgehen gar nicht so verkehrt. Denn wer den XCP-Deinstaller eingesetzt hat, läuft akute Gefahr, dass sich fremde Nutzer des eigenen PCs bemächtigen. Zur Deinstallation setzen die Entwickler auf ein ActiveX-Control, das im Anschluss daran auf dem Rechner verbleibt und einen schweren Fehler in den Sicherheitsfunktionen aufweist.
Über dieses ActiveX-Control können fortan Unbefugte jederzeit Zugriff auf den Rechner erlangen, sofern das Opfer eine entsprechend vorbereitete Webseite besucht, denn das ActiveX-Control wird als sicher für Scripting klassifiziert, so dass Angreifer das betreffende Control nur aufrufen müssen, um sich eines fremden Rechners zu bemächtigen. Diese genannten Sicherheitsrisiken gelten nur für den Internet Explorer, weil ActiveX-Controls von anderen Browsern nicht unterstützt werden. Auch eine Update-Routine für XCP läuft nur über ein ActiveX-Control. Ob hier auch ein Sicherheitsrisiko vorliegt, ist nicht bekannt.
Um offenbar weiteren Schaden abzuwenden und den erfolgten Ansehensverlust von Sony BMG abzuschwächen, hat der Plattenkonzern bereits damit begonnen, Musik-CDs mit XCP aus dem Handel zu nehmen und verkaufte Musikscheiben auzutauschen, berichtet die US-Tageszeitung USA Today(öffnet im neuen Fenster). Am vergangenen Wochenende hatte Sony BMG zwar die Produktion von Musik-CDs mit dem DRM-System gestoppt, aber noch keinen Rückruf vorgenommen.
Wie Sony BMG gegenüber USA Today(öffnet im neuen Fenster) erklärte, habe der Musikgigant 20 verschiedene Musik-CDs mit der XCP-Software in den USA veröffentlicht. Insgesamt sollen 4 Millionen derartige CDs gefertigt worden sein, wovon 2,1 Millionen Tonträger nach Sony-BMG-Angaben verkauft wurden. Noch in dieser Woche will der Musikkonzern weitere Informationen zum Umtausch von XCP-Musik-CDs bekannt geben.
Ob es dafür vielleicht schon zu spät ist, wird sich zeigen. Auf jeden Fall sorgt eine andere Verdächtigung für zusätzlichen Ärger bei Sony BMG. So geistern bereits seit Tagen Vermutungen durch das Internet, wonach in der XCP-Software widerrechtlich Code-Teile des MP3-Encoders Lame enthalten ist. So wurden immer mehr Hinweise(öffnet im neuen Fenster) darauf gefunden, dass die XCP-Software Verweise auf die Open-Source-Applikation enthält. Bislang ist aber nicht geklärt, ob hier ein Diebstahl geistigen Eigentums vorliegt.
Nachtrag vom 16. November 2005 um 12:20 Uhr:
Zudem gibt es Berichte(öffnet im neuen Fenster), dass die XCP-Software über das Internet Verbindung zu Sony BMG aufnimmt. Demnach wird Sony BMG so darüber informiert, wenn eine XCP-Musik-CD am PC eingelegt wird.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.