image

Extreem kritiek lek in Winamp, exploit circuleert

donderdag 26 augustus 2004, 09:16 door Redactie, 19 reacties

Er is een extreem kritiek lek in Winamp ontdekt dat door kwaadaardige personen misbruikt kan worden om controle over een kwetsbare computer te krijgen. Het probleem wordt veroorzaakt door onvoldoende restricties op Winamp skin zip bestanden (.wsz). Via een speciaal gemaakte Winamp skin kan een kwaadaardige website willekeurige programma's op een kwetsbare computer plaatsen en uitvoeren. In Internet Explorer kan dit zonder interactie van de gebruiker gedaan worden. Al sinds 22 juli zou er een exploit voor het lek op internet rondgaan en veel gebruikt worden, aldus K-Otik Security. Het lek is aanwezig in Winamp 5.04, maar ook andere versies zouden kwetsbaar zijn. Er wordt dan ook aangeraden om een ander produkt te gebruiken. Meer informatie staat in deze advisory.

Reacties (19)
26-08-2004, 09:36 door Anoniem
Dus als ik het goed begrijp moet je eerst een "malifide"
skin installeren en vervolgens op een kwaadwillende website
komen (bij voorkeur met IE), of kan die skin ook automatisch
geinstalleerd worden ?

Met andere woorden, als je de default skin gebruikt lijkt er
niets aan het handje..
26-08-2004, 09:41 door Anoniem
Ik ben het met je eens, zoals het geschreven is, zal een
beginnende internet gebruiker winamp niet meer gebruiken,
maar als je het wat beter leest zie je dat het gaat om een
eventuele niet oplettende gebruiker. De exploit werkt pas als
1) de gebruiker niet oplet tijdens het instaleren van een
malafide skin
2) de gebruiker daarna nog eens op verkeerde soort sites
komt waar de kwaadwillende code staat.

Dus inderdaad als je het gewoon default houd met de skin, is
er geen sprake van een kritiek lek, zoals de kop schreeuwt.
26-08-2004, 09:45 door Anoniem
een skin wordt zonder interactie geinstalleerd, dus (verborgen/verstopte) link
aanklikken en het gedonder begint...
26-08-2004, 09:47 door Anoniem
Security.nl is een slechte site als het aankomt op het
inschatten van security....
26-08-2004, 09:50 door Anoniem
Dit bericht lijkt meer op een kettingmail. 'PAS OP' STUUR
HET DOOR' 'PAS OP' STUUR HET DOOR' 'PAS OP' STUUR HET DOOR'
'PAS OP' STUUR HET DOOR' 'PAS OP' STUUR HET DOOR' 'PAS OP'
STUUR HET DOOR' 'PAS OP' STUUR HET DOOR' 'PAS OP' STUUR HET
DOOR'

Beetje nuance mag wel...
26-08-2004, 09:51 door Dr.NO
tip: installeer geen skins totdat er een patch is ;)
26-08-2004, 10:18 door Anoniem
simpele remedi: geen skin meer downloaden...
26-08-2004, 10:51 door Anoniem
Probleem zit 'm erin dat de skins automatisch geopend worden, je krijgt bij
het downloaden dus geen melding of je 'm wilt opslaan of openen, hij word
gewoon geopend....

Dus een verborgen link die via een stukje javascript vanzelf opent op een site
en het is gebeurd, dit is dus zeker wel een kritiek lek en er is geen user
interaction voor nodig. Opmerkingen zoals, "dan moet je maar geen skins
meer instaleren" slaan dus volkomen de plank mis...
26-08-2004, 11:35 door Dr.NO
Dus een verborgen link die via een stukje javascript
vanzelf opent op een site en het is gebeurd, dit is dus
zeker wel een kritiek lek en er is geen user interaction
voor nodig. Opmerkingen zoals, "dan moet je maar geen skins
meer instaleren" slaan dus volkomen de plank mis...
nou, dat geldt dus alleen als je IE gebruikt, en het lijkt
me dat je kan inzien dat ik IE niet meer gebruik.
26-08-2004, 12:03 door Anoniem
Door Anoniem
Probleem zit 'm erin dat de skins automatisch geopend
worden, je krijgt bij
het downloaden dus geen melding of je 'm wilt opslaan of
openen, hij word
gewoon geopend....

Dus een verborgen link die via een stukje javascript vanzelf
opent op een site
en het is gebeurd, dit is dus zeker wel een kritiek lek en
er is geen user
interaction voor nodig. Opmerkingen zoals, "dan moet je maar
geen skins
meer instaleren" slaan dus volkomen de plank mis...


neemtniet weg dat de gebruiker nog nodig is om te zorgen dat
er gebruik kan worden gemaakt van de exploit, door het
surfen naar een siite met kwaadwillende code. En dus kan men
niet over een ernstig kritiek lek spreken, maar over een
zwakte die bij verkeerd gebruik pas kritiek word.
26-08-2004, 12:44 door Anoniem
Windows is ook zo geweldig en gemakkelijk!! Alles gaat
helemaal automatisch! Yeah!! Whohoo!
Unix is slecht, moeilijk! Dat moet je niet gebruiken want
daar moet je zowaar alles expliciet opgeven!

Ligt het aan mij of gaat het op windows security gebied
tegenwoordig helemaal nergens meer over? De software klooit
maar wat aan... En vrijwel al die exploits worden
veroorzaakt door het hele concept 'de computer doet het wel
voor de gebruiker, want als we de gebruiker een vraag
stellen wordt het al snel te moeilijk'.
26-08-2004, 14:51 door Jean
Nou, Winamp verwijderen is wel erg rigoreus...

Een tijdelijke oplossing, totdat er een update beschikbaar is:

1. Configuratiescherm -> mapopties. Tabblad Bestandstypen.
2. Zoek daar de extensie WSZ op
3. Kies Geavanceerd
4. En dan het vinkje bij "Openen na downloaden bevestigen" aanzetten

Nu krijg je in ieder geval een melding of je de skin wil openen of niet.. En dan
is het lek een stuk minder kritiek...
26-08-2004, 18:18 door Anoniem
In de bron van dit bericht staat: "The vulnerability has been
confirmed on a fully patched system with Winamp 5.04 using
Internet Explorer 6.0 on Microsoft Windows XP SP1."

En verder dat het lek aanwezig is in Winamp 3.x en Winamp 5.x.

Het lijkt er dus op dat de goeie ouwe 2.x-versie gevrijwaard blijft
van dit lek. Weet iemand of dat inderdaad logisch is? Is de
basisprogrammatuur van zowel versie 3 als 5 wezenlijk anders
dan die van versie 2?
26-08-2004, 18:42 door Anoniem
Winamp is al veel langer een probleem.
Zo is de media browser zeer gevoelig voor hijacks ....
26-08-2004, 19:42 door Jean
Door Anoniem
In de bron van dit bericht staat: "The vulnerability has been
confirmed on a fully patched system with Winamp 5.04 using
Internet Explorer 6.0 on Microsoft Windows XP SP1."

En verder dat het lek aanwezig is in Winamp 3.x en Winamp 5.x.

Het lijkt er dus op dat de goeie ouwe 2.x-versie gevrijwaard blijft
van dit lek. Weet iemand of dat inderdaad logisch is? Is de
basisprogrammatuur van zowel versie 3 als 5 wezenlijk anders
dan die van versie 2?


Winamp 3 en 5 ondersteunen veel uitgebreidere skins dan Winamp 2. Hoe
uitgebreider en gecompliceerder iets wordt, hoe meer kans op
beveiligingslekken. Het is dan ook goed mogelijk dat het lek zich niet
voordoet bij Winamp 2.
27-08-2004, 08:39 door Anoniem
Windows media player doet ook muzakjes afspelen

Gebruik die wel
27-08-2004, 16:39 door Anoniem
Door Anoniem
Probleem zit 'm erin dat de skins automatisch geopend
worden, je krijgt bij
het downloaden dus geen melding of je 'm wilt opslaan of
openen, hij word
gewoon geopend....
Zoals middels die IE scrollbar lek
van kort geleden bijvoorbeeld.
28-08-2004, 01:43 door Anoniem
28-08-2004, 12:02 door Anoniem
alles met win (van gewin) erin is lek
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.