Windows XP kwetsbaar voor kwaadaardige MP3-files

Een recent ondekt lek in zowel Windows XP als Winamp betekent een mogelijk risico voor gebruikers van filesharing-software, schrijft C|Net. Microsoft heeft inmiddels een patch uitgebracht. Het is de tweede keer in korte tijd dat Microsoft een lek bekend maakt dat draait om een mediaformaat: in november bleek het png-formaat al niet goed door het besturingssysteem behandeld te worden. Ook andere multimedia-formaten hebben de laatste tijd te kampen met bugs: vorige week nog maakte Macromedia een lek in zijn Flash-player bekend.

Bij het openen van geïnfecteerde MP3- of WMA-bestanden in Windows Explorer of Winamp treedt een buffer overflow op, waardoor schadelijke code kan worden uitgevoerd op het systeem van het slachtoffer. Het bestand afspelen is niet nodig om het eventuele virus te activeren: alleen het uitlezen van de betreffende 'foute' tags kan voldoende zijn. Internetters die muziek downloaden middels P2P-software lopen vanzelfsprekend een groter risico. Het lek is dan ook koren op de molen van de muziekindustrie, die muziek downloaden zo onaantrekkelijk mogelijk wil doen voorkomen:

The music industry and Hollywood are eyeing such hacking tactics as a way to stop file swappers from trading copyrighted music in the future. A bill sponsored by Rep. Howard Berman, D-Calif., and Howard Coble, R-N.C., and introduced into the U.S. House of Representatives in July, would allow copyright owners limited rights to hack into peer-to-peer networks. Such attacks could take advantage of flaws similar to the two found by Mission Viejo, Calif.-based Foundstone.

Reacties (63)

Jimbolino 20 december 2002 00:52

het zit hem dus in de id3 tag

zowel winamp2 als 3 zijn vulnerable
http://www.winamp.com/news.jhtml;?articleid=9680

windowsupdate kon nog geen fix vinden voor windows 2000, lijkt me sterk dat die er geen last van heeft

Anoniem: 3226 @Jimbolino • 20 december 2002 08:19

Nee die is niet kwetsbaar het betreft specifiek Windows XP vanwege de manier waarmee die met MP3/WMA omgaat

GoGoHaRrY 20 december 2002 00:56

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulle tin/MS02-072.asp

Daar staat wel de fix van microsoft (is van 18 Dec) die nog niet in de Windowsupdate is opgenomen

Klippy

@GoGoHaRrY • 20 december 2002 01:25

Ik kreeg net een automatische update melding hiervan 2 minuten geleden

Ze zijn er toch vrij snel bij dan.

Anoniem: 3226 @Klippy • 20 december 2002 08:19

Komt omdat foundstone gewacht heeft tot microsoft de fix klaar had staan

Anoniem: 45937 20 december 2002 12:59

Weet je wat ik niet snap? Al van in de dos tijden werkt men met files ... Je zou verwachten dat microsoft nu na 20 jaar toch wel weet hoe ze een file veilig moeten openen ...

Stel je voor dat mensen waren als Microsoft ... Ze zouden na 20 jaar nog steeds niet weten hoe ze hun rubbertje moeten aan doen om het een beetje veilig te houden ... T zou hier een mooie boel worden ...

Mizitras @Anoniem: 45937 • 20 december 2002 21:52

"Weet je wat ik niet snap? Al van in de dos tijden werkt men met files ... Je zou verwachten dat microsoft nu na 20 jaar toch wel weet hoe ze een file veilig moeten openen ... "

Idd, enige vooruitgang had wel gewenst geweest.
PNG had volgens mij een schitterend innoverend formaat kunnen worden, maar nadat ikzelf ook moest merken dat zowel alle Windows en ook enkele andere browsers die met windows konden werken ermee in de clinch lagen, is dit toch een verkeken kans.

Wat erg is, is net zoals je zei, er fouten zoals deze na jaar en dag nog in blijven zitten, laat staan, pas 'per toeval' worden ontdekt na x-jaar !

Overigens even over die Winamp, is die niet in combinatie met Visual C++ gemaaktdie die buffer overflows niet te baas kon? Weer zo'n geheugenperikel waar IE ook al jaar en dag mee te maken heeft.

Mr.Aargh 20 december 2002 00:54

WinAMP v2.81 en v3.0 zijn ook lek.
Deze zijn al gepatched beschikbaar, let er bij WinAMP 3.0 op dat het build nummer lager kan zijn de degene die je al hebt (ivm de hogere nummering met de "gelekte" instabiele builds dan de "stabiele" builds.).

http://www.winamp.com

jurrie 20 december 2002 01:04

Geldt dit enkel voor Explorer en WINAMP? Ik gebruik bijvoorbeeld Media Jukebox voor mijn mp3 files.

blouweKip 20 december 2002 12:44

in november bleek het png-formaat al niet goed door het besturingssysteem behandeld te worden.

Dat is met alle microsoft software zo, IE 6 kan ook nog steeds niet fatsoenlijk met PNG omgaan...

Janoz Moderator PRG/SEA 20 december 2002 00:48

Hebben ze bij MS misschien een speciaal iemand in dienst om bufferoverflows te maken?

Misschien moeten ze hun OS maar in Java gaan schrijven, die heeft tenminste automatische boundschecking

Anoniem: 37180 @Janoz • 20 december 2002 14:02

Misschien moeten ze hun OS maar in Java gaan schrijven, die heeft tenminste automatische boundschecking

Denk dat Microsoft gewoon voor .NET en C# gaan want die heeft ook boundchecking, geen pointers zoals is C++, echt goede garbage colllection en is bovendien een STUK SNELLER dan Java.

Anoniem: 36518 @Anoniem: 37180 • 23 december 2002 00:27

met pointers kun je ook boundchecking in bouwen

en rekenmaar dat .net c# ook pointers heeft want als je compiled zit je hele programma vol met pointers

die controle moet je gewoon inbouwen (of moet aanwezig zijn in de compiler)

Anoniem: 49546 @Janoz • 20 december 2002 00:53

En Java heeft ook garbage collection enz.

Maar Java is ook enorm traag..

TheJoker @Anoniem: 49546 • 20 december 2002 01:40

ehrm, Java is zo traag, omdat het via een virtueele machine draait, je moet het eens zien draaien op een pure Java platform (dus geen ander OS met een VM, maar alleen Java), dat gaat best rap

Edit: damned typo's

MRic3 @TheJoker • 20 december 2002 10:30

Dat java OS dat heet JX...
www4.informatik.uni-erlangen.de/Projects/JX/
verder weet ik er niks van.

pinockio @TheJoker • 20 december 2002 02:08

Ok, offtopic net als de hele "Java" thread: is er een Java OS? Niet dat ik weet. Java (niet JavaScript) wordt altijd in een VM uitgevoerd, juist omdat het platform en OS onafhankelijk (zou moeten zijn)/is.

ripexx @TheJoker • 20 december 2002 02:18

Het was meer bedoeld als een verdekte opmerking naar Thorchar, omdat ie nogal een loze opmerking over java maakte die niet echt onderbouwd is. Ik weet wel dat de ondersteuning van Microsoft op Java niet ontzettend goed is en dat de JVM van MS ook niet met kop en schouders boven de rest uit steek.

Slagroom @TheJoker • 20 december 2002 08:43

Er is een JavaOS en volgens mij draait dat op aparte bakken en dat alles is gemaakt door sun... maar meer weet ik niet... ik kan het ook mis hebben...

Anoniem: 51493 @TheJoker • 20 december 2002 08:47

Ja, die zijn er:

http://www.wired.com/news/technology/0,1282,11908,00.html
http://www.google.nl/search?q=java+os&ie=UTF-8&oe=UTF-8&hl=nl&lr=

Heb er ooit 1 shareware CD van gekregen op de HCC *BSD tent vorig jaar. Was een Java OS, iets met een i... weet niet meer hoe 't heette, helaas..

Anoniem: 45353 @TheJoker • 20 december 2002 11:31

javaOS bestaat al heeel lang.
werd als eerste gebeuirkt op thin clients van sun. (javastation)
paste in een flashrommetje van 2mb ofzo. heel schattig allemaal en werkte *toen* reuze goed. Sun heeft het op die manier alleen laten vallen omdat de vraag erg laag was.

SunRay machines draaien op een soort evolutie van het oude javaOS.

ripexx @Anoniem: 49546 • 20 december 2002 01:22

Maar waarom is Java dan traag, of is dat alleen op een Microsoft Windows OS

liosnel 20 december 2002 00:48

Het lek is dan ook koren op de molen van de muziekindustrie, die muziek downloaden zo onaantrekkelijk mogelijk wil doen voorkomen:

Zou het daar dan niet vandaan kunnen komen???

-whodini- @liosnel • 20 december 2002 00:53

Reken maar dat ze dat zeker zullen proberen.
Ook al is het verboden.

Nijntje @-whodini- • 20 december 2002 01:40

reken er ook maar op dat ze daar redelijk voorzichtig mee zouden zijn, want als zoiets zou uitlekken hebben ze toch een redelijk probleem

gooddaddy @-whodini- • 20 december 2002 07:55

Reken maar dat ze dat zeker zullen proberen.
Ook al is het verboden.

MP3'tjes downloaden is ook verboden, als je het nummer niet origineel hebt. maar waarom zou je in vredesnaam een mp3'tje downloaden als je het origineel hebt?

Dus oog om oog, tand om tand

Atmosphere @gooddaddy • 20 december 2002 08:20

maar waarom zou je in vredesnaam een mp3'tje downloaden als je

Omdat je misschien geen zin heb om hem zelf te encoden, of omdat je geen goede (legale) encoder hebt. Misschien omdat sommige mensen graag eerst op hun gemak ffies naar een CD luisteren en daarna naar de winkel rennen om hem te kopen (of niet als het een slechte cd is)

Dus oog om oog, tand om tand

Vind ik beetje overdreven hoor,.. Ik vind het moedwillig vernietigen van data/infecteren met virus of trojan toch echt heel iets anders als het kopieren van data.
Bovendien gaat die vergelijking pas op als zij zeker weten dat jij dat Mp3tje illegaal hebt, en hoe willen ze dat bepalen

Anoniem: 63982 @gooddaddy • 20 december 2002 12:07

Jou argument gaat nergens over en 'oog om oog, tand om tand' nog minder.

Ik heb een heleboel LP's en die KAN ik niet omzetten op CD of MP3. Ik heb WEL de auteursrechten betaald dus ik heb het recht om dat nummer te beluisteren. Een LP, MC of CD is puur een medium en de prijs die je in de winkel betaald is dan ook voor het grootste deel auteursrechten. Het is belachelijk om die rechten 2x aan te schaffen omdat een LP niet in een CDspeler past.

Illegaal gebruik wordt het pas wanneer ik die MP3's beschikbaar maak voor anderen, niet wanneer ik die MP3's waarvoor ik auteursrechten heb betaald binnen haal.

Kurgan @gooddaddy • 21 december 2002 14:05

Dus oog om oog, tand om tand

Sorry hoor, maar dat is echt een volkomen ondoordachte reactie. Als ik , zegge en schrijve, één MP3-bestandje download dan geeft dat de muziekindustrie het recht om mijn hele HD te wissen? Dat is hetzelfde als wanneer jij een deuk in mijn auto rijdt, heb ik dan het recht om jouw auto in brand te steken?

Ik vind het overigens wel vreemd dat het wéér een buffer overflow exploit is. Het is bekend dat als je één bug oplost, je drie nieuwe bugs veroorzaakt, maar het is nu wel erg vaak dezelfde bug die terugkomt. Je zou toch verwachten dat ze dat eens een keertje grondig aanpakken.

RobT @gooddaddy • 20 december 2002 09:27

Ik blijf het zeggen:
mp3's downloaden is niet verboden.
mp3's uploaden wel, want dan 'publiceer' je in feite iets op het net, waar je geen rechten voor hebt.

Dj Neo Ziggy @gooddaddy • 20 december 2002 09:32

Nee, jij bent dan toch ook in overtreding, als jij die "gepubliceerde" nummers download?

Zo kan ik ook zeggen, ff mp3's maken op een pc, ff via mijn netwerk downloaden en dan zijn we klaar?
Dat werkt niet zo.

zordaz @gooddaddy • 20 december 2002 09:34

MP3tjes downloaden per definitie verboden als je het origineel niet hebt? Dat klopt natuurlijk niet. Ik ken genoeg muzikanten, bands en orkesten die enkele MP3s vrij aanbieden op hun website e.d. Als je die download is daar natuurlijk niets illegaals aan. En wat dacht je van de site mp3.com?

Anoniem: 480 @gooddaddy • 20 december 2002 09:50

Bijvoorbeeld omdat je het origineel op LP hebt staan, en het over wil zetten op CD. En dat is dus legaal, je mag voor eigen gebruik 1 kopie hebben.
En die kopie wil ik dus op CD hebben.

En downloaden is een stuk makkelijker en sneller dan het eerst van LP opnemen op de PC, kras wow en flutter filters erover heen halen, en dan op CD branden.

MP3 downloaden is dus niet per definitie illegaal. Het is pas illegaal als je het origineel niet hebt.

real[B]art 20 december 2002 01:59

De bug waar het om gaat is ook te vinden in de Bugtraq:

For Winamp 2.81 users

We recommend either upgrading to Winamp 3.0 or redownloading Winamp 2.81
(which has since been fixed) from: http://www.winamp.com

For Winamp 3.0 users

Only Winamp 3.0 build #488 built on December 15, 2002 and later are not
vulnerable. We recommend if the About Winamp3 dialog box within
Winamp 3.0 displays a 3.0 release that has a lower build number than
488 or earlier date than Dec 15 2002, we recommend redownloading
Winamp 3.0 from: http://www.winamp.com

Overigens is van deze fix niets terug te vinden in de changelog. Om precies te zijn is de winamp281_full.exe die ik zojuist heb binnengehaald exact gelijk aan degene die ik al heb sinds het uitkomen van versie 2.81.

Je zou haast gaan denken dat deze bug dezelfde is als de eerder dit jaar gerapporteerde & gefixte bug (zie ook deze nieuwspost).

In de changelog staat voor versie 2.80 dan ook o.a. de volgende bugfix vermeld:

Winamp 2.80:
(...)
* minibrowser security fix
(...)

Anoniem: 51493 @real[B]art • 20 december 2002 08:50

Exact degene? Hoe heb jij dat gechecked bij 2.81? Zelfde grootte van bestand zegt te weinig...

# md5sum winamp281_full.exe
353709951105a4671f457051157991c9 winamp281_full.exe

# crc32 winamp281_full.exe
28c1e09c

(van de nieuwe; oude heb ik niet meer)

VlasBaard @real[B]art • 20 december 2002 13:35

Idd, winamp.exe is hetzelfde. Maar in_mp3.dll is anders.

TaXaN @real[B]art • 20 december 2002 15:03

Hmmm, ze zouden toch tenminste het versienummer kunnen wijzigen. Hoe moet je nu weten dat er een bijgewerkte versie is? Zelfs als je Winamp op nieuwe versies laat controleren, vindt ie geen nieuwe versie.

blender 20 december 2002 09:36

Als je denkt dat alleen het gerelateerde process crashed snap je niet helemaal wat een buffer overflow precies doet...

Als je het 'goed' doet kun je code laten uitvoeren. Dat gebeurt met dezelfde rechten als waarmee het programma liep... als dat Administrator rechten zijn...

akoster @blender • 20 december 2002 12:01

nou, niet per definitie.

Een tijdje geleden is er een exploit geweest die met opzet een fout genereerde. Normaal gesproken wordt er dan een debug programma opgestart (bijv dr watson). Nu schijnt het zo te zijn dat je via via kan instellen welk debug programma je wilt laten draaien, de dos command prompt bijvoorbeeld. Het grappige is dat MS de debug programma's automatisch admin rechten geeft om bij alle relevante data te kunnen komen. Op deze manier kon je dus een willekeurig programma opstarten met administrator rechten, terwijl je zelf maar een 'gewone' gebruiker was.

Toen ze daar achter kwamen was het snel over met de pret, nu levert het uitvoeren van de betreffende code een virus melding op

Op dit item kan niet meer gereageerd worden.

Windows XP kwetsbaar voor kwaadaardige MP3-files

Lees meer

Reacties (63)

Sorteer op:

Weergave: