CERT-FI haavoittuvuustiedote 093/2002

19.12.2002

Useita haavoittuvuuksia Winamp-ohjelmistoissa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Nullsoft Winamp on ohjelmisto, jota käytetään mm. MP3-formaattiin pakatun musiikin kuunteluun. Winamp-ohjelmistoista on löydetty useita puskuriylivuotohaavoittuvuuksia, mitkä mahdollistavat hyökkääjän omien komentojen suorittamisen kohdetietojärjestelmässä. Yksi löydetyistä haavoittuvuuksista on Winamp versiossa 2.81 (viimeisin 2.x versio) ja se liittyy artistin IDv3 merkin käsittelyyn MP3 tiedostoa ladattaessa. Kaksi muuta haavoittuvuutta on löydetty Winamp versiosta 3.0 (uusin 3.x versio) ja ne liittyvät ladatun MP3-tiedoston artistin ja albumin IDv3 merkinnän esittämiseen Winamp Media Library -ikkunassa.

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvat Winamp ohjelmistoversiot ovat 2.81 ja 3.0.

Haavoittuvuudelle ovat alttiita kaikki Microsoft Windows NT/2000/XP järjestelmät, joissa käytetään edellä mainittuja haavoittuvia Winamp -ohjelmistoja.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä valmistajan ohjeiden mukaisesti.

http://www.winamp.com

LISÄTIETOA:

http://www.foundstone.com/advisories
CVE-2002-1177 CVE-2002-1176

PÄIVITYSHISTORIA:

19.12.2002: Julkaistu

Sivua päivitetty 10.08.2007

Tulostusversio