CERT-FI haavoittuvuustiedote 131/2009

23.12.2009

Winamp-sovelluksessa haavoittuvuuksia

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Winamp on laajasti käytössä oleva musiikkitiedostojen käsittelyyn tarkoitettu ohjelmisto. Winamp-ohjelmiston Module Decoder-osasta (IN_MOD.DLL) ja png- sekä jpeg-tiedostojen käsittelystä on löydetty useita haavoittuvuuksia. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä haluamiaan komentoja, jos hän onnistuu houkuttelemaan käyttäjän avaamaan muokkaamansa tiedosto.

HAAVOITTUVAT OHJELMISTOT:

• Winamp versiota 5.57 aiemmat versiot
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä sovellus uusimpaan versioon.

LISÄTIETOA:

• http://www.vupen.com/english/advisories/2009/3576
• http://blog.winamp.com/2009/12/17/winamp-5-57-is-now-available
• http://www.winamp.com/help/Version_History#Winamp_5.57_.28Latest.29
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3995
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3996
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3997
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4356

PÄIVITYSHISTORIA:

23.12.2009, kello 14.49: Julkaistu

Sivua päivitetty 23.12.2009

Tulostusversio