Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties
Bron: The Register

The Register meldt dat alle Winamp-versies voor 2.80 een beveiligingsfout bevatten. Het beveiligingslek werd op 26 april gemeld in de Bugtraq mailinglist en is door Nullsoft bevestigd. Het gaat om een buffer overflow conditie welke misbruikt kan worden wanneer een virus aan de ID3v2 tag van een mp3-bestand wordt toegevoegd. Bij het openen van het mp3-bestand wordt de ID3v2 tag geparsed waarna via een script op http://info.winamp.com gezocht wordt naar extra informatie over het muzieknummer. Het beveiligingslek vindt plaats wanneer de betreffende url naar de minibrowser wordt gestuurd; er vindt, nog voordat er een internetverbinding is gemaakt, een buffer overflow plaats. Het is zelfs mogelijk dat andere mp3-bestanden op de harddisk of het netwerk worden ge´nfecteerd. Gebruikers van Winamp wordt geadviseerd te upgraden naar versie 2.80 of de minibrowser uit te schakelen:

"If the mini-browser is enabled, Winamp will try to query a script on info.winamp.com for extra information about the song, based on data from the ID3v2 tag. The buffer overflow condition occurs when the URL string intended to be sent to the minibrowser is created. That means the buffer overflow occurs before any actual Internet connection to info.winamp.com is made," Sandblad says.

Winamp Minibrowser

Goost, bedankt voor de tip.

Moderatie-faq Wijzig weergave

Reacties (41)

Gelukkig gebruik ik geen Winamp, en toen ik het nog wel gebruikte (op me laptop) zette ik die minibrowser altijd uit, stom ding...
Winamp, Mozilla, ICQ, al die programma's krijgen veeeeeeeeeel te veel functies en zijn daardoor niet meer in staat te doen waar ze bedoelt voor zijn, stom stom stom!
ah.. dus als je die mini browser niet gebruikt is er dus geen gevaar?
Neen, er staat toch in het artikel dat het geadviseerd wordt om de minibrowser uit te schakelen? :)
Ik denk dat je dan van de veronderstelling uit kunt gaan dat, aangezien de url niet wordt doorgegeven aan de minibrowser, het probleem ook niet optreed.
Het was toch allang bekend dat je heel goed virussen kon verspreiden via de ID3v2 tag van mp3z? Dat werd nog heel vaak aangedragen als argument tegen filesharing programma's, want daar zouden heel wat van dit soort virussen in rond dwalen
Sorry verkeerd gelezen

Is trouwens de eerste keer dat ik hoor dat Winamp een fout bevat. Valt me tegen van de makers want als je al zo'n goed basis programma heb waarom moeten er dan steeds van die rare dingen bij zo als de mini browers.Dat zie je trouwens bij heel veel programma's ze gaan steeds te veel doen dat zie je ook al bij ICQ
De minibrowser is een extra functionaliteit die geintegreerd is voor de gebuiker om te zoeken naar extra informatie over een album.. vergelijk het met een winamp's eigen CDDB. Daarnaast is het een inkomsten bron voor nullsoft cq. AOL.
Vind het dus niet vreemd dat hij erin zit. Wees blij dat je hem nog uit kan schakelen dat in tegenstelling tot de ads in bijvoorbeeld ICQ
Even over die ads in ICQ, die KUNNEN wel weg. Gewoon ICQ Plus installen en ze zijn weg OF even een verse install van ICQ doen en dan 1 file weggooien en een regkey op no zetten, that's all.

ICQ Plus is bij mijn weten geheel legaal om skins in ICQ te kunnen gebruiken en dat als bonus de ads weg zijn is mooi meegenomen.
Ja je kan ze idd uitschakelen met ICQ Plus...maar mag dit, nee...dit is gewoon een soort van cracken..dus het is NIET legaal!
Volledig mee akkoord, ik vind die minibrowser alleen hatelijik. Dat ze verbeteringen zoeken voor hun applicatie dat is normaal, maar waarom je persÚ met je mp3 player moet kunnen surfen ??
Ik begrijp het niet helemaal.. Als je iets uit kan zetten in een programma waarom is het dan nog steeds hatelijk ?!? En als iemand zo ontevreden is over die laatste versies.. neem een stabiel 2.0x versie en download de laatste in_mp3.dll versie... heb je nergens problemen mee.. Als er geen nieuwe funstionaliteiten bij zo'n programma komen dan staan ze op straat want Winamp alleen voor mp3 draait al perfect !!!
Is trouwens de eerste keer dat ik hoor dat Winamp een fout bevat.
En die A4tjes vol met bug-fixes dan? :?
Dat zijn natuurlijk niet allemaal beveiligingsfouten waar Rick het over heeft... :Y)
offtopic:
Vraag me af of ze dat express doen... die fouten bekend maken nadat ze gefixt zijn... valt toch wel op.
Tuurlijk, dan is er minder kans dat ze misbruikt worden
Ja okay, maar vind je niet dat mensen het recht hebben om te weten dat ze software gebruiken met een mogelijke beveiligingsfout in, zodat ze de kans krijgen die eventueel te verwijderen of niet meer te gebruiken totdat het opgelost is?

Edit:
Dezelfde vraag voor jou darthraver...
Als men wacht met de fout te publiceren aan het grote Internet publiek tot de fabrikant van de software een fix heeft voorzien, berokkent men veel minder schade.

Het feit dat de fout bekend is in slechts "beperkte kringen" brengt veel minder schade met zich mee, dan dat de fout gepubliceerd wordt, pakweg een week voordat er een fix is. Op die moment zijn er al veel mensen die gedurende een week tijd de fout mogelijk hebben kunnen misbruiken.

Het wachten met publiceren van fouten tot vendors fixen maken is volgens mij een goeie zaak.

Maar als we hier dieper op ingaan komen we bij de eeuwige discussie over Full versus Non Disclosure, en dit hoort niet echt bij de topic :)
Maar misschien hebben ze het ook wel nu pas bekend gemaakt omdat als ze dat eerder deden dat iedereen het dan wist. En nu een stuk minder mensen...totdat ze het gefixt hebben, want dan maakt het toch niet meer uit.
offtopic:
Vraag me af of ze dat express doen... die fouten bekend maken nadat ze gefixt zijn... valt toch wel op.
Heu, volgens mij is er weinig offtopic aan jouw bericht Blizzy :?

In ieder geval zijn de ontdekte fouten -met name op beveiligingsniveau- een belangrijke reden om een nieuwe release uit te brengen. Als ze dit soort problemen zouden "misbruiken" om iedereen snel op de nieuwste versie van Winamp over te laten gaan gooien ze daar hun goede naam mee te grabbel. Nullsoft zou in zo'n geval niet de eerste zijn die dan ver onderuit zou gaan door dit soort situaties. Ik durf te betwijfelen dat ze zo'n risico durven te nemen...

[edit]
De reacties van Terr en Darthvader geven aan dat je het bericht van Blizzy op meerdere manieren kunt interpreteren :)
Vraag me af of ze dat express doen... die fouten bekend maken nadat ze gefixt zijn... valt toch wel op.
Je vermoeden klopt. Fouten worden inderdaad vaak publiekelijk bekend gemaakt _nadat_ er een fix is gepubliceerd. Dit fenomeen staat bekend als 'responsible disclosure'.

Responsible disclosure in het kort: de ontdekker van een probleem doet een melding bij de maker van de software (op 'secalart@de_softwaremaker.com') en geeft de softwaremaker een 'redelijke periode' om te reageren. De ontdekker publiceert pas als de softwaremaker het probleem heeft opgelost. De softwaremaker zal de ontdekker ook 'crediten'.

Het precieze proces is beschreven in een Internet draft, de voorloper van een RFC. Op SecurityFocus is een artikel verschenen dat aangeeft dat dit voorstel erg solide in elkaar zit en zeer waarschijnlijk ook juridisch stand kan houden (heeft wel betrekking op de Amerikaanse situatie).

P.s. niet iedereen houdt zich aan dit voorstel. Bekende 'bughunter' Georg Guniski doet hier vooral niet aan mee en publiceert zijn ontdekkingen direct op de Bugtraq mailinglijst.

Lang verhaal, maar ik hoop verhelderend...

edit:
geleerd hoe URLs toe te voegen
* 786562 The
The Register meldt dat alle Winamp-versies voor 2.80 een beveiligingsfout bevatten.
Okay da's duidelijk! Maar dan:
Gebruikers van Winamp wordt geadviseerd te upgraden naar versie 2.80 of de minibrowser uit te schakelen
Lijkt me nou niet echt een denderend advies, toch?
2.80 is de versie die gefixt is (alles daarvoor heeft de bug)
bjij deze jetser!

grt
Dank je, 'gayjay'!
Had blijkbaar biet goed gelezen!

'jetser' ;)
gebruikt iemand die mini browser dan :?
Ja, ikke :)
Winamp Games kunnen voor zover ik weet niet zonder die Mini Browser.
Gelukkig heb ik 2.78 draaien, daar is niets mis mee volgens mij... Laat het dus nog maar even zo.. Die minibrowser is wel handig om in te tunen op inet-radio
(Ik vind trouwens 'de verbeteringen in 3beta' ongelovelijk niet fijn... gewoon bagger maar das een beetje off-topic geneuzel..)
Gelukkig heb ik 2.78 draaien, daar is niets mis mee volgens mij...
Ehm..

Beveiligingsfout in Winamp-versies vˇˇr 2.80

Is het zo duidelijker?
Oke, als je je minibrowser niet gebruikt (eerste wat ik normaal uitzet, daarna EQ settings importeren) is er nog niks aan de hand.
Denk ik: "gelijk 2.80 maar even downloaden dan", kan ik de hele winamp site niet benaderen. Sterker nog: ping geeft unknown host.
Winamp blijft gevaarlijk.

Enige tijd terug heb ik al op bugtraq gepost dat het mogelijk is om "arbitrary code" uit te voeren als winamp geinstalleerd is doordat wma bestanden het pad van de temporary internet files folder kunnen doorgeven. Met wat javascript kan vervolgens een meegestuurd programma gestart worden

dit proces gebeurt automagisch als windows XP is geinstalleerd omdat deze wma bestanden zonder prompt opent (is een bug ofzo maar t staat hier nu na wat gepruts normaal)

ook is het mogelijk javascipt in playlists te embedden die dan vervolgens in de local zone word uitgevoerd

geen van deze problemen word door de nieuwe versie geadresseerd. Nog heb ik een reactie van winamp gekregen er op.

Dus ehmm voel je maar allemaal lekker veilig met deze nieuwe versie :)
Toen ik net winamp opstarte

gaf hij een melding dat er een nieuwe versie (2.80 dus) te downloaden was met 2 security fixes en nog wat andere dingen!

Ik ben benieuwd wat dan die andere fix is!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True