Winamp-skin gebruikt als exploit

Verschillende veiligheidssites maken melding van een lek in het populaire mediaprogramma Winamp 5. Door een onvolledige rechtencheck op bestanden kunnen zip-bestanden met Winamp skins (normaal met de extensie .wsz, maar dit kan door gebruik te maken van andere fouten gemaskeerd worden) code bevatten waarmee andere programma's geladen kunnen worden. Het is namelijk mogelijk met behulp van een xml-document in het zip-bestand een willekeurige html-pagina te openen in de 'Local Computer Zone' waardoor ActiveX-objecten bijna onbeperkt toegang hebben tot de geïnfecteerde computer.

Op deze manier kan iemand met slechte bedoelingen een skin verspreiden waarmee hij malware laat uitvoeren op kwetsbare computers. Dit is iets wat momenteel ook gebeurt: op IRC werden reeds heel wat chatters het slachtoffer van spyware die via deze exploit verspreid wordt. Op dit moment is er nog geen patch beschikbaar en worden gebruikers van Winamp 5 dan ook aangeraden een andere mediaspeler te gebruiken of geen skins meer te gebruiken. Bovendien is het niet onverstandig om niet op onbekende links te klikken, aangezien ook jpg-bestanden of elke andere extensie een dergelijke Winamp skin kunnen laden.

Reacties (31)

Anoniem: 41164 26 augustus 2004 15:09

Uhh ....
* Classic skins (Winamp 2.x) hebben de extensie .wsz
* Modern skins (Winamp 5.x) hebben de extensie .wal
* Alleen MsIE gebruikt de "Local Computer Zone" en ActiveX-objecten
* Waar is de bron vermelding?

Redactie?

Anoniem: 105402 @Anoniem: 41164 • 26 augustus 2004 15:11

Je kan het hier vinden: http://secunia.com/advisories/12381

Ik heb het gezien op ZD

Pwigle @Anoniem: 41164 • 26 augustus 2004 15:13

http://www.k-otik.com/exploits/08252004.skinhead.php

Anoniem: 41164 @Anoniem: 41164 • 26 augustus 2004 15:21

http://forums.winamp.com/showthread.php?s=&threadid=190902

Anoniem: 105402 26 augustus 2004 15:07

Ik heb er ook last van gehad. Heel misleidend terug. Het ziet er zoiets uit gelijk dit: "-04:08:19- [******|AFK]: www.***-pic.tk/******/****.jpg <--- LOOOOOOOOOOOOOOOOOOOOOOOOOL"

Het werd geopend in IE bij mij door een vergetelheid aangezien ik normaal Firefox gebruik. Het vroeg me om een programma te installeren (kadertje net gelijk gator). Winamp werd opgestart maar omdat ik "neen" drukte bij bovenstaande werkte mijn Winamp niet meer naar behoren. Elke keer ik Winamp opstarte bleef het vragen om het programma te installeren. Opnieuw installeren van Winamp was de enigste oplossing.

Pascal 26 augustus 2004 15:26

It's not a case of 'not downloading skins'.
You're safe if you download skins from any of:
winamp.com, deviantart.com, 1001winampskins, skins.org, deskmod, etc etc...
You'll probably be safe if you knowingly download any wsz or wal file.
It's when the url is a seemingly unsuspicious link to a .php or .jpg that you've got to worry,
because that's how the exploit is utilized.

The best thing you could do right now is:
WinME/2k/XP > Windows Folder Options > File Types tab > WSZ > Advanced:
Checkmark: "Confirm open after download"

Repeat for WAL

(Note: Under Win9x, it's 'Edit' instead of 'Advanced')

This will now make Internet Explorer ask if you want to open or save the WAL or WSZ file.
Naturally, if you clicked on a link to a jpg or php (or any other extension other than wal or wsz)
then you've probably come across the exploit (so it'd probably be wise to click 'Cancel').

For other browsers, you'll need to go into the browser config and change the setting accordingly,
eg. for Firefox:

Tools > Options > Downloads tab:
WSZ / WAL > Change Action:
Checkmark: "Save to Disk" (instead of Open...)

Firefox will now prompt you instead of automatically downloading & executing skin files.

http://forums.winamp.com/showthread.php?postid=1450734#post1450734

PuzzleSolver 26 augustus 2004 15:48

Hoe zit het dan met de DSP effects en IN/Output andere plug ins. Dat zijn gewoon DLL's waar je in principe ook alles in kan.

Pascal @PuzzleSolver • 26 augustus 2004 15:51

Winamp Skins worden autmatisch uitgevoerd via de Browser en DSP IN/Output niet, bestanden moet je meestal handmatig starten of selecteren

RuddyMysterious 26 augustus 2004 15:25

Gebruik gewoon 2.xx skins, geen XML files, geen problemen.

Én ze zijn minder belastend.

erikdeperik @RuddyMysterious • 26 augustus 2004 17:16

stel je gebruikt alleen de orginele skin,dan heb je er toch geen last van , of zie ik dat verkeerd

anyone

edit/ vraag beantwoordt door evilman hieronder

Sir_Eleet @RuddyMysterious • 26 augustus 2004 17:22

Ik denk niet dat dergelijke skins te vinden zijn op sites als winamp.com

of zullen nu iig wel verwijderd worden.
Het probleem is dat je een link kunt krijgen van iemand op IRC en dat MSIE vervolgens automatish de skin installeert en winamp opent. (dus zonder venster "wilt u deze skin installeren? let op: winamp 5 skin!")

Anoniem: 68141 26 augustus 2004 15:58

Ik gebruik toch veel liever winamp 2. Het beste onder de zon vind ik.

Maarja je moet er maar net aan denken als je zoiets programmeerd als winamp dat iemand daar ook misbruik van zou kunnen maken....lijkt me best fustrerend zo...

Hmmm 26 augustus 2004 18:32

waardoor ActiveX-objecten bijna onbeperkt toegang hebben tot de geïnfecteerde computer.

Het zal weer eens een keer niet aan de ActiveX-objecten liggen.

Misschien kan Microsoft iets aan de architectuur veranderen zodat dit soort dingen gewoon onmogelijk worden gemaakt afgaande op de berichten van de afgelopen jaren met alle gaten in programma's waarmee leuke ActiveX-dingen gedaan konden worden.

Waarom wordt er trouwens niet een patch uitgebracht dat je zelfs vanuit de Local Computer Zone altijd een bevestiging moet geven voordat er allerlei enge ActiveX-dingen gaan plaatsvinden? Zo blijven we doormodderen natuurlijk...

Anoniem: 112386 @Hmmm • 26 augustus 2004 23:53

alsof het vragen van een extra "weet je het zeker ?" gaat helpen. oh z<o vaak worden complete dialogs weggeklikt of verkeerd beantwoord en als je dan vraagt wat er stond... dan weten ze het dus niet.

er zit "iets" fundamenteels mis bij software van onze grootste vriend.

als je dat nou eens onderuitschoffelt, dan ben je een stukkie verder.

Dispenzer 26 augustus 2004 14:51

Bovendien is het niet onverstandig om niet op onbekende links te klikken.

Dit kun je logischer zeggen

, maar goed ... los van Winampskins ... moet je nooit op links drukken die je niet kent, zelfs zonder te klikken ben je al snel de sigaar

b.v.
http://www.tweakers.net/nieuws/33895/?highlight=20+minuten

@ MuddyMagical: Natuurlijk móet je soms

MuddyMagical @Dispenzer • 26 augustus 2004 14:54

ik weet het niet hoor, maar dan ben je snel uitgesurft. Je komt op een gegeven moment toch dingen tegen die je niet kent.
Het gaat er om dat je oplet dat goude bergen niet bestaan en logisch nadenkt voordat je klikt.

Anoniem: 105379 26 augustus 2004 16:04

Nah jah gebruik al een hele tijd Quintessential player, en dit kan ik dan wel gebruiken om die mensen die zoiets hebben " Wat, gebruik je geen winamp ?" op afstand te houden

Quintessential Player, http://Quinnware.com

DJ Henk @Anoniem: 105379 • 26 augustus 2004 19:58

Wat? Gebruik je geen foobar?

Anoniem: 68141 @Anoniem: 105379 • 26 augustus 2004 16:18

Lol...die player kon ik niet eens. Maar op jouwn aanraden zal ik em eens een testrun geven

Phuncz

26 augustus 2004 14:52

2 maanden geleden kwam mijn virusscanner ineens langs een autoexec.wsz in mijn winamp dir.

Vertrouwde het al niet, het heeft ook niet lang daar gezeten.

Op dit item kan niet meer gereageerd worden.

Winamp-skin gebruikt als exploit

Lees meer

Reacties (31)

Sorteer op:

Weergave: