Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Gefährliches Sicherheitsloch in Winamp

Gefährliches Sicherheitsloch in Winamp

deoroller
Zitat:

Beim Öffnen von manipulierten Winamp-Wiedergabelisten (.pls) kann ein Buffer Overflow ausgelöst werden, indem das File1-Tag entsprechend formatiert wird. Ein Angreifer muss dazu lediglich eine manipulierte Playlisten-Datei etwa auf einer Webseite zum Download bereitstellen oder per E-Mail versenden und seine Opfer so zum Öffnen dieser Datei bringen. Da ein Angreifer darüber beliebigen Programmcode unter Windows ausführen kann, erhält er eine umfassende Kontrolle über ein fremdes System.

Das Sicherheitsloch wurde für Winamp 5.12 sowie frühere Versionen bestätigt. Ein Patch steht derzeit nicht zur Verfügung. (ip)

Quelle

Ich glaube, ich benutze mal den WMP vorübergehend. grübeln
dedie
Heise ist etwas ausführlicher:
Zitat:
Für die derzeit aktuelle Version 5.12 des Windows-Medienplayers Winamp ist ein 0-Day-Exploit im Umlauf, der manipulierte Playlisten erstellt, die dem Mediaplayer Code unterschieben. Eine aktualisierte Version des Players steht noch nicht bereit.

Durch Präparieren des File1-Eintrages in einer PLS-Playlist können Angreifer beliebigen Code in das System einbringen, der dann ausgeführt wird. Der Fehler lässt sich auch über Webseiten ausnutzen – ohne weitere Benutzerinteraktion. Dazu muss der Angreifer auf einer böswilligen Website nur die schadhafte PLS-Datei in einem iframe verlinken.

Bis zur Veröffentlichung einer fehlerbereinigten Winamp-Version sollten Anwender die Verknüpfung von PLS-Playlisten mit der Software löschen. Das Aktivieren der mit Service Pack 2 in Windows XP eingeführten Datenausführungsverhinderung (Data Execution Prevention, DEP) verhindert in unseren Tests die Auswirkungen des Exploits und schließen Winamp, bevor das System zu Schaden gekommen ist.

Um die DEP zu aktivieren, genügt ein Rechtsklick auf das Arbeitsplatzsymbol, das Auswählen von Eigenschaften sowie das anschließende Anwählen des Karteireiters Erweitert. In dem Feld zur Systemleistung führt dann der Klick auf Einstellungen zu einem weiteren Windows-Dialog, auf dem der rechtsstehende Reiter mit dem Titel Datenausführungsverhinderung die Optionen birgt. Hier sollte der zweite Punkt eingestellt werden: Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten aktivieren:. Anschließend ist noch ein Neustart des Systems notwendig.

QUELLE
dedie
War ja zu erwarten:

Zitat:
Spyware nutzt Winamp-Lücke
Erste Web-Seiten infizieren Windows-Systeme mit Spyware, indem sie spezielle Playlisten einbetten, die eine kürzlich bekannt gewordene Lücke in Medienplayer Winamp ausnutzen, berichtet der Herstellers von Sicherheitssoftware Sunbelt. Winamp habe die auf einer "schädlichen Website" gefundene Datei x.pls sofort geöffnet und den Code ausgeführt. Selbst Antiviren-Software biete kaum Schutz, bis auf McAfees Wächter erkannte bei einem Test auf Virustotal kein einziges AV-Programm den Exploit.

Im Falle einer Infektion wird unter anderem der "Suchassistent" CWS Looking-For.Home und das vorgebliche Antispyware-Programm SpySheriff installiert, das dann dramatisch jede Menge angebliche Sicherheitslücken, Hintertüren und andere Gefahren auf dem Rechner meldet. Um diese zu beseitigen, muss man jedoch die Gebühren für die Vollversion entrichten. Dieses Geschäft mit der Angst und Unwissenheit der Anwender erlebt derzeit einen wahren Boom.

Normalerweise nutzt Spyware vor allem Sicherheitslücken in Windows direkt (zum Beispiel über WMF-Dateien) oder im Internet Explorer. Dass eine Lücke in einem Programm eines Drittherstellers gezielt ausgenutzt wird, ist eher ungewöhnlich und wohl auf die in diesem Fall recht hohe Verbreitung von Winamp zurückzuführen. Das Problem betrifft die Winamp-Version 5.12. Bei ihr ist es möglich, durch Präparieren des File1-Eintrages in einer PLS-Playlist beliebigen Code in ein System einzubringen. Seit vergangener Woche steht auf der Winamp-Homepage die Version 5.13 des Players bereit, die für den Ende Januar vorgestellten Exploit nicht mehr anfällig ist. Nutzer früherer Versionen werden durch ein Meldungsfenster auf das Update hingewiesen und sollten es möglichst sofort installieren.


QUELLE