Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Beveiligingsfout in Winamp-versies voor 2.80

Beveiligingsfout in Winamp-versies voor 2.80

Door Edo Aneke, dinsdag 30 april 2002 12:56
Bron: The Register, views: 841

The Register meldt dat alle Winamp-versies voor 2.80 een beveiligingsfout bevatten. Het beveiligingslek werd op 26 april gemeld in de Bugtraq mailinglist en is door Nullsoft bevestigd. Het gaat om een buffer overflow conditie welke misbruikt kan worden wanneer een virus aan de ID3v2 tag van een mp3-bestand wordt toegevoegd. Bij het openen van het mp3-bestand wordt de ID3v2 tag geparsed waarna via een script op http://info.winamp.com gezocht wordt naar extra informatie over het muzieknummer. Het beveiligingslek vindt plaats wanneer de betreffende url naar de minibrowser wordt gestuurd; er vindt, nog voordat er een internetverbinding is gemaakt, een buffer overflow plaats. Het is zelfs mogelijk dat andere mp3-bestanden op de harddisk of het netwerk worden geïnfecteerd. Gebruikers van Winamp wordt geadviseerd te upgraden naar versie 2.80 of de minibrowser uit te schakelen:

"If the mini-browser is enabled, Winamp will try to query a script on info.winamp.com for extra information about the song, based on data from the ID3v2 tag. The buffer overflow condition occurs when the URL string intended to be sent to the minibrowser is created. That means the buffer overflow occurs before any actual Internet connection to info.winamp.com is made," Sandblad says.

Winamp Minibrowser

Goost, bedankt voor de tip.

Volgende 13:04 Eerste OLED schermen deze herfst beschikbaar
Vorige 12:33 AMD koopt licentie op MIPS64 instructieset
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 41 reacties zichtbaar410 Off-topic / Irrelevant: 36 reacties zichtbaar36+1 On-topic: 28 reacties zichtbaar28+2 Informatief: 10 reacties zichtbaar10+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door Rick Brands, dinsdag 30 april 2002 13:02

Score: 1
Sorry verkeerd gelezen

Is trouwens de eerste keer dat ik hoor dat Winamp een fout bevat. Valt me tegen van de makers want als je al zo'n goed basis programma heb waarom moeten er dan steeds van die rare dingen bij zo als de mini browers.Dat zie je trouwens bij heel veel programma's ze gaan steeds te veel doen dat zie je ook al bij ICQ

Door Daniel304, dinsdag 30 april 2002 13:11

Score: 3
De minibrowser is een extra functionaliteit die geintegreerd is voor de gebuiker om te zoeken naar extra informatie over een album.. vergelijk het met een winamp's eigen CDDB. Daarnaast is het een inkomsten bron voor nullsoft cq. AOL.
Vind het dus niet vreemd dat hij erin zit. Wees blij dat je hem nog uit kan schakelen dat in tegenstelling tot de ads in bijvoorbeeld ICQ

Door Fatamorgana, dinsdag 30 april 2002 16:37

Score: 0
Even over die ads in ICQ, die KUNNEN wel weg. Gewoon ICQ Plus installen en ze zijn weg OF even een verse install van ICQ doen en dan 1 file weggooien en een regkey op no zetten, that's all.

ICQ Plus is bij mijn weten geheel legaal om skins in ICQ te kunnen gebruiken en dat als bonus de ads weg zijn is mooi meegenomen.

Door skunkah, woensdag 1 mei 2002 11:36

Score: 1
Ja je kan ze idd uitschakelen met ICQ Plus...maar mag dit, nee...dit is gewoon een soort van cracken..dus het is NIET legaal!

Door error_, dinsdag 30 april 2002 13:13

Score: 1
Volledig mee akkoord, ik vind die minibrowser alleen hatelijik. Dat ze verbeteringen zoeken voor hun applicatie dat is normaal, maar waarom je persé met je mp3 player moet kunnen surfen ??

Door Daniel304, dinsdag 30 april 2002 13:17

Score: 2
Ik begrijp het niet helemaal.. Als je iets uit kan zetten in een programma waarom is het dan nog steeds hatelijk ?!? En als iemand zo ontevreden is over die laatste versies.. neem een stabiel 2.0x versie en download de laatste in_mp3.dll versie... heb je nergens problemen mee.. Als er geen nieuwe funstionaliteiten bij zo'n programma komen dan staan ze op straat want Winamp alleen voor mp3 draait al perfect !!!

Door ReqFilr, dinsdag 30 april 2002 16:55

Score: 1
Is trouwens de eerste keer dat ik hoor dat Winamp een fout bevat.
En die A4tjes vol met bug-fixes dan? :?

Door bjorntje424, donderdag 2 mei 2002 08:48

Score: 1
Dat zijn natuurlijk niet allemaal beveiligingsfouten waar Rick het over heeft... :Y)

Door xingman, dinsdag 30 april 2002 13:02

Score: 0
Ze verzinnen ook overal een virus op, Alleen had ik om de aan of andere reden niet gedacht dat een proggie als Winamp er ook vatbaar voor was.. zo zie je maar

Door Blizzy, dinsdag 30 april 2002 13:03

Score: 1
offtopic:
Vraag me af of ze dat express doen... die fouten bekend maken nadat ze gefixt zijn... valt toch wel op.

Door Terr, dinsdag 30 april 2002 13:05

Score: 2
Tuurlijk, dan is er minder kans dat ze misbruikt worden

Door Blizzy, dinsdag 30 april 2002 13:07

Score: 2
Ja okay, maar vind je niet dat mensen het recht hebben om te weten dat ze software gebruiken met een mogelijke beveiligingsfout in, zodat ze de kans krijgen die eventueel te verwijderen of niet meer te gebruiken totdat het opgelost is?

Edit:
Dezelfde vraag voor jou darthraver...

Door Ashe, dinsdag 30 april 2002 14:12

Score: 2
Als men wacht met de fout te publiceren aan het grote Internet publiek tot de fabrikant van de software een fix heeft voorzien, berokkent men veel minder schade.

Het feit dat de fout bekend is in slechts "beperkte kringen" brengt veel minder schade met zich mee, dan dat de fout gepubliceerd wordt, pakweg een week voordat er een fix is. Op die moment zijn er al veel mensen die gedurende een week tijd de fout mogelijk hebben kunnen misbruiken.

Het wachten met publiceren van fouten tot vendors fixen maken is volgens mij een goeie zaak.

Maar als we hier dieper op ingaan komen we bij de eeuwige discussie over Full versus Non Disclosure, en dit hoort niet echt bij de topic :)

Door darthraver, dinsdag 30 april 2002 13:07

Score: 1
Maar misschien hebben ze het ook wel nu pas bekend gemaakt omdat als ze dat eerder deden dat iedereen het dan wist. En nu een stuk minder mensen...totdat ze het gefixt hebben, want dan maakt het toch niet meer uit.

Door okzel, dinsdag 30 april 2002 13:10

Score: 1
offtopic:
Vraag me af of ze dat express doen... die fouten bekend maken nadat ze gefixt zijn... valt toch wel op.
Heu, volgens mij is er weinig offtopic aan jouw bericht Blizzy :?

In ieder geval zijn de ontdekte fouten -met name op beveiligingsniveau- een belangrijke reden om een nieuwe release uit te brengen. Als ze dit soort problemen zouden "misbruiken" om iedereen snel op de nieuwste versie van Winamp over te laten gaan gooien ze daar hun goede naam mee te grabbel. Nullsoft zou in zo'n geval niet de eerste zijn die dan ver onderuit zou gaan door dit soort situaties. Ik durf te betwijfelen dat ze zo'n risico durven te nemen...

[edit]
De reacties van Terr en Darthvader geven aan dat je het bericht van Blizzy op meerdere manieren kunt interpreteren :)

Door siebrand, dinsdag 30 april 2002 22:47

Score: 1
Vraag me af of ze dat express doen... die fouten bekend maken nadat ze gefixt zijn... valt toch wel op.
Je vermoeden klopt. Fouten worden inderdaad vaak publiekelijk bekend gemaakt _nadat_ er een fix is gepubliceerd. Dit fenomeen staat bekend als 'responsible disclosure'.

Responsible disclosure in het kort: de ontdekker van een probleem doet een melding bij de maker van de software (op 'secalart@de_softwaremaker.com') en geeft de softwaremaker een 'redelijke periode' om te reageren. De ontdekker publiceert pas als de softwaremaker het probleem heeft opgelost. De softwaremaker zal de ontdekker ook 'crediten'.

Het precieze proces is beschreven in een Internet draft, de voorloper van een RFC. Op SecurityFocus is een artikel verschenen dat aangeeft dat dit voorstel erg solide in elkaar zit en zeer waarschijnlijk ook juridisch stand kan houden (heeft wel betrekking op de Amerikaanse situatie).

P.s. niet iedereen houdt zich aan dit voorstel. Bekende 'bughunter' Georg Guniski doet hier vooral niet aan mee en publiceert zijn ontdekkingen direct op de Bugtraq mailinglijst.

Lang verhaal, maar ik hoop verhelderend...
edit:
geleerd hoe URLs toe te voegen

Door ferenc, dinsdag 30 april 2002 13:04

Score: 0
gebruikt iemand die mini browser dan :?

Door Nakebod, dinsdag 30 april 2002 13:06

Score: 2
Ja, ikke :)
Winamp Games kunnen voor zover ik weet niet zonder die Mini Browser.

Door vehpol, dinsdag 30 april 2002 13:07

Score: 2
Het was toch allang bekend dat je heel goed virussen kon verspreiden via de ID3v2 tag van mp3z? Dat werd nog heel vaak aangedragen als argument tegen filesharing programma's, want daar zouden heel wat van dit soort virussen in rond dwalen

Door BezurK, dinsdag 30 april 2002 13:11

Score: 2
Gelukkig gebruik ik geen Winamp, en toen ik het nog wel gebruikte (op me laptop) zette ik die minibrowser altijd uit, stom ding...
Winamp, Mozilla, ICQ, al die programma's krijgen veeeeeeeeeel te veel functies en zijn daardoor niet meer in staat te doen waar ze bedoelt voor zijn, stom stom stom!

Door mariusjr, dinsdag 30 april 2002 13:13

Score: 1
ah.. dus als je die mini browser niet gebruikt is er dus geen gevaar?

Door Blizzy, dinsdag 30 april 2002 13:17

Score: 1
Neen, er staat toch in het artikel dat het geadviseerd wordt om de minibrowser uit te schakelen? :)
Ik denk dat je dan van de veronderstelling uit kunt gaan dat, aangezien de url niet wordt doorgegeven aan de minibrowser, het probleem ook niet optreed.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 13:04 Eerste OLED schermen deze herfst beschikbaar
Vorige 12:33 AMD koopt licentie op MIPS64 instructieset
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011