Thema: Winamp ...

[bladel]

Die Sicherheitsspezialisten von NGSSoftware warnen in ihrem aktuellen "  Insight Security Research Advisory " vom 5. April vor einer schweren Sicherheitslücke im Media-Player Winamp. Die Lücke läuft unter der etwas sperrigen Bezeichung "Nullsoft Winamp 'in_mod.dll' Heap Overflow".

Betroffen soll der Player in den Versionen 2.91 bis 5.02 sein. In der erst kürzlich vorgestellten 5.03 wurde das Leck bereits geflickt. Die Sicherheitsfirma empfiehlt Anwendern daher den Umstieg auf Winamp 5.03.

Details zur Lücke

 NGSSoftware  zufolge werden über das Plug-in "in_mod.dll" geladene Fasttracker 2-Dateien (mit Endung .xm) nicht korrekt vom Plug-in geprüft. Mit diesem Wissen in der Hinterhand ist ein Angreifer in der Lage, eigene Werte in den Speicher zu schreiben, Kontrolle über Winamp zu bekommen und schlussendlich beliebigen Code auszuführen.

NGSS hat mit einer speziell angefertigten HTML-Seite bereits nachgewiesen, dass ein Angriff möglich ist.

Loch schließen ohne Winamp 5.03:

Für Anwender, die nicht auf die bereits gepatchte Version umsteigen können – oder wollen - , gibt es die Möglichkeit, den Verursacher des Problems zu deaktivieren. Die Vorgehensweise (Quelle: Next Generation Security Software Limited) - die Screenshots stammen bereits von der gepatchten Version 5.03:

1. Im Player ins Menü "Options, Preferences.


2. Weiter zu "Plug-ins, Input", den "Nullsoft Module Decoder" suchen und per Doppelklick auf den Eintrag in dessen Einstellungsfenster wechseln



3. Auf den Reiter "Loaders" wechseln und "Fasttracker 2" auswählen – rechts vom Auswahldialog gibt es die Möglichkeit, den Fastracker per Häkchen zu aktivieren und deaktivieren. Entfernen Sie das Häkchen von "Enabled".


4. Alle Fenster schließen. - www.pcwelt.de

[lakefield]

Die ganzen Buffer- oder Heap-Overflows sind anscheinend ein Problem das die ganze Branche der Compilerhersteller betrifft, egal ob für das Windows oder Linux-Lager.  Es kann anscheinend jedes Programm treffen. Da gibt es noch viel zu tun für die Hersteller, da es ja scheinbar zum Volkssport wird solche Lücken auszunutzen.

cu
lf

[SiLæncer]

Auf der französischen Sicherheitsseite K-otik ist ein Exploit für den Medienplayer Winamp erschienen. Er nutzt eine Sicherheitslücke bei der Behandlung von Skins, um Windows-PCs beim Anklicken eines Links auf einer Webseite oder in einer E-Mail mit Schädlingen zu infizieren. Allerdings setzt dies voraus, dass der Anwender den Internet Explorer benutzt, da Winamp bei der Installation festlegt, das Microsofts Browser Skins automatisch öffnet. Es gibt erste Hinweise, dass bereits einige Webseiten diese Lücke aktiv ausnutzen; Links zu diesen Seiten sollen derzeit im IRC kursieren.  

Winamp-Skins (.wsz) sind komprimierte Container für mehrere Dateien. Unter anderem können HTML, XML und sogar .EXE-Dateien darin enthalten sein. Im veröffentlichten Exploit referenziert das Dokument skin.xml über mehrere Schritte auf ein HTML-Dokument, das über einen Trick in der lokalen Zone des Internet Explorer ausgeführt wird. Über OBJECT- und CODEBASE-Tags startet dieser dann die eingebettete ausführbare Datei calc.exe. Betroffen sind Winamp 3.x und 5.x unter Windows XP mit Service Pack 1, ein Patch steht derzeit noch nicht zu Verfügung. Nullsoft ist über das Problem informiert und arbeitet an einem Fix.

Eine ähnliche Demonstration der unsicheren Verarbeitung von Skins in Winamp in Kombination mit dem Internet Explorer hat der Sicherheitsexperte Arman Nayyeri schon Ende letzten Jahres veröffentlicht. Dort missbrauchte er die Unterstützung für HTML-Hilfedateien, um beliebige Programme auf ein System zu schleusen und zu starten.

Quelle : www.heise.de

[Jürgen]

Ich würde als Notmassnahme zur Vorbeugung empfehlen, bis zur Lösung den Dateityp .wsz auf text/plain entspr. txtfile zu ändern, natürlich vorher die Registry-Schlüssel sichern.
Wer Winamp nicht (mehr) drauf hat, kann in der Registry die Classes Winamp.Skinzip und / oder Winamp3.Skinzip (erst sicherheitshalber exportieren und danach) löschen, den Classes Eintrag .wsz (ebenso sicherheitshalber exportieren und dann) so ändern wie .txt, das ist sicherer...

[SiLæncer]

Nachdem am Donnerstag eine Schwachstelle des Mediaplayers Winamp beim Download von Skins bekannt wurde, stellt Hersteller Nullsoft ein Update auf die Version 5.05 bereit. Die 4,3 MByte große Datei enthält ein Security Bug Fix, das die Sicherheitslücke stopfen soll.  

Die Sicherheitslücke entstand bei der Behandlung von Winamp-Skins (.wsz) durch den Internet Explorer und konnte dazu führen, dass Windows-PCs unter bestimmten Umständen beim Anklicken eines Links auf einer Webseite oder in einer E-Mail mit Schädlingen infizieren werden.

Quelle : www.heise.de

[bladel]

Der Sicherheitsspezialist Brett Moore hat ein Sicherheitsloch im Mediaplayer Winamp entdeckt, über das Angreifer Code auf ein System schleusen und mit den Rechten des Anwenders ausführen können. Schuld ist ein Buffer Overflow in der Bibliothek IN_CDDA.dll, der unter anderem durch manipulierte .m3u-Playlists ausgelöst wird. Ist solch eine Playlist in einer Webseite eingebettet, lädt und startet Wimamp sie in der Standardkonfiguration automatisch beim Besuch der Seite. Der Fehler wurde für Winamp 5.05 bestätigt. In der seit dem 18. November verfügbaren Version 5.06 ist die Lücke gestopft. - www.heise.de

[SiLæncer]

Aktuelle Winamp-Version stopft Sicherheitsleck nicht

Die am gestrigen 23. November 2004 bekannt gewordene Winamp-Sicherheitslücke wird entgegen den Versprechungen des Herstellers mit der aktuellen Version der Software nicht behoben. Somit bleibt derzeit nur als Lösung, das Angriffsszenario durch Komfort-Einbußen zu umgehen.

Der Entdecker des Sicherheitslochs in Winamp, Brett Moore, weist ausdrücklich darauf hin, dass das Sicherheitsleck auch noch in Winamp 5.06 steckt. Mit dieser Version sollte die Sicherheitslücke eigentlich geschlossen werden - das jedenfalls verspricht der Hersteller.

Das Sicherheitsleck steckt in der Winamp-Datei "in_cdda.dll", über die ein Buffer Overflow ausgelöst werden kann, was dann die Ausführung beliebigen Programmcodes ermöglicht. Ein Angreifer muss dazu lediglich eine manipulierte Playlisten-Datei im Format .m3u etwa auf einer Webseite zum Download bereitstellen oder per E-Mail versenden und seine Opfer so zum Öffnen dieser Datei bringen, um sich eine umfassende Kontrolle über ein fremdes System zu verschaffen.

Das Sicherheitsloch wurde für die Winamp-Version 5.05 bestätigt und ist auch - entgegen den Herstellerangaben - in Winamp 5.06 zu finden. Ob das Sicherheitsleck auch in früheren Winamp-Versionen steckt, ist bislang nicht bekannt. Um das Sicherheitsloch zu umgehen, kann man die Dateizuweisungen von Winamp mit den Endungen .cda und .m3u deaktivieren, was dann allerdings die Bedienung der Software beeinträchtigt.

Quelle : www.golem.de

[SiLæncer]

Der beliebte Multimedia-Player Winamp steht seit einigen Stunden in der Version 5.07 zum Download bereit. Auf der Winamp-Website wird noch die Version 5.06 angepriesen. Auf den Download-Servern findet sich allerdings schon die aktuellere Version.

In der neuen Version wurden ein kritische Sicherheitsbugs in der Datei in_cdda.dll und im .m3u-handler gefixt. Die Lücke hatten die Sicherheitsexperten von Secunia Ende November in dieser Veröffentlichung als hochkritisch eingestuft ( wir berichteten ). Es empfiehlt sich also, dringend auf Winamp 5.07 umzusteigen.

Darüber hinaus wurden einige weitere Bugs behoben und der Installer verbessert. So sollten die Proxy-Einstellungen wieder funktionieren. Eine vollständige Auflistung aller Änderungen finden Sie auf dieser Website .

http://forums.winamp.com/showthread.php?s=&threadid=159785

Vier verschiedene Fassungen von Winamp 5.07 stehen zum Download bereit: Lite (740 KB), Full (4,4 MB), Pro (4,4 MB) und Bundle (7,88 MB). Letztere Fassung enthält neben Winamp 5.07 auch den MP3-Song "California Rain" von Silvertide. Winamp Pro kostet 14,95 US-Dollar und enthält einige Zusatzfeatures, wie beispielsweise die Möglichkeit, Audio-CDs mit vollem Tempo zu brennen. Die anderen Varianten sind kostenlos und unterscheiden sich lediglich durch ihren Funktionsumfang.

Quelle : www.pcwelt.de

[SiLæncer]

Mit der Version 5.08c des Mediaplayer Winamp beseitigen die Entwickler vier kritische Sicherheitslücken. Laut dem Posting eines Winamp-Forum-Moderators finden sich die Schwachstellen in den Bibliotheken in_mp4.dll, enc_mp4.dll und libmp4v2.dll. Auch in der Datei in_cdda.dll wurde ein weiterer Buffer Overflow behoben. Nähere Angaben gibt es zu den Fehlern nicht. Ob sie sich zum Einschleusen von Schadcode ausnutzen lassen, ist nicht bekannt. Bereits die Version 5.07 stopfte eine auf einem Pufferüberlauf beruhende Sicherheitslücke in der Datei in_cdda.dll. Immerhin wiesen die Entwickler damals noch auf der Startseite auf das Problem hin.

Quelle : www.heise.de

[SiLæncer]

Der beliebte MP3-Player Winamp 5 soll über eine Verkettung von Buffer-Overflows in der ID3v2-Tag-Verarbeitung eingeschleusten Code ausführen, berichtet LSS Security in einem Advisory. MP3-Dateien vertrauen Anwender für gewöhnlich blind, sie enthalten scheinbar ja nur einen Musik-Datenstrom. Dadurch bekommt die Lücke in der ID3-Tag-Verarbeitung besondere Brisanz -- ein Benutzer braucht eine präparierte MP3-Datei nur mit Winamp abzuspielen, um schadhaften Code auf seinem System auszuführen.

Der Fehler tritt durch eine Verkettung von Heap-Overflows auf. Durch einen überlangen Eintrag im ID3v2-Tag, beispielsweise bei ARTIST oder TITLE, läuft der hierfür reservierte Heap-Bereich über und überschreibt die Quell-Adresse für eine strcpy()-Funktion. Der Aufruf dieses strcpy() wiederum kann einen Bereich überlaufen lassen, der die Zieladresse einer jump-Anweisung enthält -- diese könnte man somit auf eigenen Code umbiegen. Vor die strcpy()-Funktion haben die WinAmp-Entwickler allerdings noch eine Plausibilitätsprüfung gestellt. Die Prüfung ist allerdings sehr rudimentär, sie vergleicht nur, ob die Quell-Adresse des strcpy() einen bestimmten Wert enthält. Dies dürfte für einen potenziellen Angreifer keine ernst zu nehmende Hürde darstellen.

Ein Demo-Exploit stellt das Advisory auch gleich bereit. Erfolgreich hat LSS Security diesen bislang auf Windows XP mit Service Pack 1 und einem Windows 2000 ohne Service Packs zur Ausführung gebracht. Es ist bislang noch unklar, ob auch Systeme wie beispielsweise Windows XP mit Service Pack 2 angreifbar sind, die mit zusätzlichen Schutzmechanismen gegen Pufferüberläufe ausgerüstet sind. Ein Workaround steht noch nicht zur Verfügung, die WinAmp-Entwickler haben gegenüber LSS Security jedoch eine aktualisierte Version des Players in den nächsten Tagen angekündigt.

Quelle und Links : http://www.heise.de/newsticker/meldung/61732

[SiLæncer]

Der weitverbreitete MP3-Player Winamp ist in einer aktualisierten Version erschienen, die auch den Pufferüberlauf bei der Verarbeitung von ID3v2-Tags behebt. Winamp-Nutzer sollten umgehend die neue Version herunterladen und installieren, um nicht Opfer von manipulierten MP3-Dateien zu werden, die schadhaften Code auf dem System einschleusen und zur Ausführung bringen können.

Auf der Internet-Seite von Winamp ist allerdings immer noch die verwundbare Vorgängerversion verlinkt. Die fehlerbereinigten Versionen kann man aber aus dem Winamp-Forum bekommen.

Quelle und Links : http://www.heise.de/newsticker/meldung/61822

[SiLæncer]

Für die derzeit aktuelle Version 5.12 des Windows-Medienplayers Winamp ist ein 0-Day-Exploit im Umlauf, der manipulierte Playlisten erstellt, die dem Mediaplayer Code unterschieben. Eine aktualisierte Version des Players steht noch nicht bereit.

Durch Präparieren des File1-Eintrages in einer PLS-Playlist können Angreifer beliebigen Code in das System einbringen, der dann ausgeführt wird. Der Fehler lässt sich auch über Webseiten ausnutzen – ohne weitere Benutzerinteraktion. Dazu muss der Angreifer auf einer böswilligen Website nur die schadhafte PLS-Datei in einem iframe verlinken.

Bis zur Veröffentlichung einer fehlerbereinigten Winamp-Version sollten Anwender die Verknüpfung von PLS-Playlisten mit der Software löschen. Das Aktivieren der mit Service Pack 2 in Windows XP eingeführten Datenausführungsverhinderung (Data Execution Prevention, DEP) verhindert in unseren Tests die Auswirkungen des Exploits und schließen Winamp, bevor das System zu Schaden gekommen ist.

Um die DEP zu aktivieren, genügt ein Rechtsklick auf das Arbeitsplatzsymbol, das Auswählen von Eigenschaften sowie das anschließende Anwählen des Karteireiters Erweitert. In dem Feld zur Systemleistung führt dann der Klick auf Einstellungen zu einem weiteren Windows-Dialog, auf dem der rechtsstehende Reiter mit dem Titel Datenausführungsverhinderung die Optionen birgt. Hier sollte der zweite Punkt eingestellt werden: Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten aktivieren:. Anschließend ist noch ein Neustart des Systems notwendig.

Siehe dazu auch:

    * Nullsoft Winamp Player PLS Handling Remote Buffer Overflow Vulnerability, Meldung vom FrSIRT mit PoC-Exploit-Code
    * Download von Winamp, zur Zeit noch die verwundbare Version 5.12
    * Befehlsverweigerung, Artikel zum No Execute-Bit auf heise Security


Quelle und Links : http://www.heise.de/security/news/meldung/68981

[SiLæncer]

Seit kurzem ist auf der Winamp-Homepage die Version 5.13 der Software herunterzuladen, die für den vorgestellten Exploit nicht mehr anfällig ist.

Quelle : www.heise.de

[SiLæncer]

Erste Web-Seiten infizieren Windows-Systeme mit Spyware, indem sie spezielle Playlisten einbetten, die eine kürzlich bekannt gewordene Lücke in Medienplayer Winamp ausnutzen, berichtet der Herstellers von Sicherheitssoftware Sunbelt. Winamp habe die auf einer "schädlichen Website" gefundene Datei x.pls sofort geöffnet und den Code ausgeführt. Selbst Antiviren-Software biete kaum Schutz, bis auf McAfees Wächter erkannte bei einem Test auf Virustotal kein einziges AV-Programm den Exploit.

Im Falle einer Infektion wird unter anderem der "Suchassistent" CWS Looking-For.Home und das vorgebliche Antispyware-Programm SpySheriff installiert, das dann dramatisch jede Menge angebliche Sicherheitslücken, Hintertüren und andere Gefahren auf dem Rechner meldet. Um diese zu beseitigen, muss man jedoch die Gebühren für die Vollversion entrichten. Dieses Geschäft mit der Angst und Unwissenheit der Anwender erlebt derzeit einen wahren Boom.

Normalerweise nutzt Spyware vor allem Sicherheitslücken in Windows direkt (zum Beispiel über WMF-Dateien) oder im Internet Explorer. Dass eine Lücke in einem Programm eines Drittherstellers gezielt ausgenutzt wird, ist eher ungewöhnlich und wohl auf die in diesem Fall recht hohe Verbreitung von Winamp zurückzuführen. Das Problem betrifft die Winamp-Version 5.12. Bei ihr ist es möglich, durch Präparieren des File1-Eintrages in einer PLS-Playlist beliebigen Code in ein System einzubringen. Seit vergangener Woche steht auf der Winamp-Homepage die Version 5.13 des Players bereit, die für den Ende Januar vorgestellten Exploit nicht mehr anfällig ist. Nutzer früherer Versionen werden durch ein Meldungsfenster auf das Update hingewiesen und sollten es möglichst sofort installieren.

Siehe dazu auch:

    * Winamp über Playlists angreifbar auf heise Security
    * Winamp exploit found in the wild, Eintrag im Sunbelt-Blog
    * Download der aktualisierten Winamp-Version

Quelle und Links : http://www.heise.de/security/news/meldung/69229

[SiLæncer]

Auch die aktuelle Version 5.13 des beliebten Media-Players Winamp ist anfällig für manipulierte Playlisten, meldet Alan McCaig auf der Sicherheits-Mailingliste Bugtraq. Der vermeintlich mit der neuen Version beseitigte Fehler lässt sich möglicherweise mit einem leicht modifizierten Exploit nach wie vor zum Einschmuggeln beliebigen Codes ausnutzen.

Winamp stolpert McCaig zufolge immer noch über zu lange Dateinamen in Playlisten – und auch über zu lange Playlisten-Namen. Da die Modifikationen am alten Exploit nur minimal sind, ist damit zu rechnen, dass in Kürze erneut Webseiten versuchen werden, über präparierte Playlisten Anwendern Code unterzuschieben und so in ihre Systeme einzubrechen.

Eine neue Winamp-Version, die den Fehler endgültig beseitigt, ist derzeit noch nicht in Sicht. Um mögliche Probleme durch diese Sicherheitslücke zu vermeiden, könnte der Einsatz der Data Execution Prevention (DEP) helfen. Eine Kurzanleitung in der ersten Meldung der Winamp-Lücke auf heise Security beschreibt die dazu notwendigen Schritte.

Siehe dazu auch:

    * New winamp m3u/pls .WMA & .M3U Extension overflows auf Bugtraq von Alan McCaig
    * Download des Winamp-Players
    * Winamp über Playlists angreifbar auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/69672