Winamp Computer Name Handling Buffer Overflow Vulnerability(Rilasciato winamp 5.13)

[ERCOLINO]

Secunia Advisory: SA18649 Print Advisory
Release Date: 2006-01-30

Critical:Extremely critical
Impact: System access
Where: From remote
Solution Status: Unpatched

Software: Winamp 5.x

Select a product and view a complete list of all Patched/Unpatched Secunia advisories affecting it.

Description:
ATmaCA has discovered a vulnerability in Winamp, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to a boundary error during the handling of filenames including a computer name. This can be exploited to cause a buffer overflow via a specially crafted playlist containing a filename starting with an overly long computer name (about 1040 bytes).

Successful exploitation allows execution of arbitrary code on a user's system when e.g. a malicious website is visited.

The vulnerability has been confirmed in version 5.12. Other versions may also be affected.

NOTE: An exploit is publicly available.

Solution:
Use another product.

Provided and/or discovered by:
ATmaCA

Original Advisory:
http://milw0rm.com/id.php?id=1458



Bollettino di Sicurezza

 

[ERCOLINO]

Winamp 5: Falla Overflow Grave

Una nuova vulnerabilità "estremamente critica" è stata individuata nel popolare media player di AOL Winamp. La falla è relativa al modo ci cui il programma gestisce i nomi files che includono un nome di computer. Un codice exploit in grado di colpire la versione 5 del software è già stato pubblicato in rete.


Secondo l'advisory di Secunia, azienda specializzata in security alerts, la vulnerabilità può essere sfruttata per causare un buffer overflow attraverso un plalyinglist (file .pls) creata ad arte che contiene un nome file che inizi con un "overly long computer name". Un attacco alla falla potrebbe portare all'esecuzione di codice arbitrario sul computer dell'utente malcapitato. Il problema di sicurezza era stato segnalato inizialmente insieme al rilascio dell'exploit creato da ATmaCA. Il file PLS può essere semplicemente caricato da remoto tramite un IFRAME incluso in un sito web.

I programmatori di Winamp stanno lavorando per correggere il problema, e hanno già reso disponibile una DLL (in_mp3.dll) che include il codice patchato.


Continua qui

 

[ERCOLINO]

Rilasciato poco fa Winamp 5.13


Aggiornate,corregge il grave bug di sicurezza

Qui

 

[ERCOLINO]

Exploit Falla Winamp 'in the wild'

Gli esperti avvertono che una falla di sicurezza nel software media player Winamp sta venendo sfruttata dai cybercriminali per installare spyware sulle macchine vulnerabili.

Ad inizio settimana, le aziende di sicurezza avevano avvertito che il codice exploit di attacco per la falla, in grado di colpire la versione 5 del software, stava circolando in Internet. Sunbelt Software ha affermato di aver isolato un sito Web che ospitava un file playlist di Winamp malizioso che se aperto causa l'installazione di software spyware sul sistema dell'utente malcapitato.

La vulnerabilità "estremamente critica", relativa al modo in cui il programma gestisce i nomi-files che includono un nome di computer, è stata già corretta con il tempestivo rilascio di Winamp 5.13.
Secondo l'advisory di Secunia, azienda specializzata in security alerts, la vulnerabilità può essere sfruttata per causare un buffer overflow attraverso un playing list (file .pls) creata ad arte che contiene un nome file che inizi con un "overly long computer name". Un attacco alla falla può portare all'esecuzione di codice arbitrario. Il file PLS può essere semplicemente caricato da remoto tramite un IFRAME incluso in un sito web.

Adam Thomas di Sunbelt scrive sul blog ufficiale dell'azienda: "Dopo aver visitato il sito web maligno con le nostre macchine di test, il file 'x.pls' inizia ad essere scaricato ... Quasi immediatamente, Winamp inizia ad eseguire la play list e contemporaneamente parte l'esecuzione di codice nocivo remoto ... Non seguire la raccomandazione di Nullsoft, che incoraggia a aggiornare al più presto alla versione 5.13, potrebbe causare l'infezione con 'CWS Looking-For.Home Search Assistant' e con 'SpySheriff'".

Il codice spyware Home Search Assistant è in grado di monitorare l'attività dell'utente e inviare informazioni confidenziali al suo creatore. SpySheriff invece mostra un falso avviso che avverte che il computer è infetto con spyware e tenta di convincere l'utente ad acquistare il prodotto per poter risolvere il problema di sicurezza. A quanto pare ben pochi software antivirus rilevano ancora il codice exploit. Secondo i test di Sunbelt solo Mcafee riconosce l'attacco classificandolo come "Exploit-WinampPLS.gen".

Il problema di sicurezza affligge Winamp 5.12 e probabilmente le versioni precedenti del media player. Il sito web a cui Sunbelt fa riferimento, 008k.com, sembra essere off-line e mostra ora il messaggio: "Site is closed for abuses."

Fonte