Extreem kritiek lek in Winamp, exploit circuleert
Er is een extreem kritiek lek in Winamp ontdekt dat door kwaadaardige personen misbruikt kan worden om controle over een kwetsbare computer te krijgen. Het probleem wordt veroorzaakt door onvoldoende restricties op Winamp skin zip bestanden (.wsz). Via een speciaal gemaakte Winamp skin kan een kwaadaardige website willekeurige programma's op een kwetsbare computer plaatsen en uitvoeren. In Internet Explorer kan dit zonder interactie van de gebruiker gedaan worden. Al sinds 22 juli zou er een exploit voor het lek op internet rondgaan en veel gebruikt worden, aldus K-Otik Security. Het lek is aanwezig in Winamp 5.04, maar ook andere versies zouden kwetsbaar zijn. Er wordt dan ook aangeraden om een ander produkt te gebruiken. Meer informatie staat in deze advisory.
skin installeren en vervolgens op een kwaadwillende website
komen (bij voorkeur met IE), of kan die skin ook automatisch
geinstalleerd worden ?
Met andere woorden, als je de default skin gebruikt lijkt er
niets aan het handje..
beginnende internet gebruiker winamp niet meer gebruiken,
maar als je het wat beter leest zie je dat het gaat om een
eventuele niet oplettende gebruiker. De exploit werkt pas als
1) de gebruiker niet oplet tijdens het instaleren van een
malafide skin
2) de gebruiker daarna nog eens op verkeerde soort sites
komt waar de kwaadwillende code staat.
Dus inderdaad als je het gewoon default houd met de skin, is
er geen sprake van een kritiek lek, zoals de kop schreeuwt.
aanklikken en het gedonder begint...
inschatten van security....
HET DOOR' 'PAS OP' STUUR HET DOOR' 'PAS OP' STUUR HET DOOR'
'PAS OP' STUUR HET DOOR' 'PAS OP' STUUR HET DOOR' 'PAS OP'
STUUR HET DOOR' 'PAS OP' STUUR HET DOOR' 'PAS OP' STUUR HET
DOOR'
Beetje nuance mag wel...
het downloaden dus geen melding of je 'm wilt opslaan of openen, hij word
gewoon geopend....
Dus een verborgen link die via een stukje javascript vanzelf opent op een site
en het is gebeurd, dit is dus zeker wel een kritiek lek en er is geen user
interaction voor nodig. Opmerkingen zoals, "dan moet je maar geen skins
meer instaleren" slaan dus volkomen de plank mis...
vanzelf opent op een site en het is gebeurd, dit is dus
zeker wel een kritiek lek en er is geen user interaction
voor nodig. Opmerkingen zoals, "dan moet je maar geen skins
meer instaleren" slaan dus volkomen de plank mis...
me dat je kan inzien dat ik IE niet meer gebruik.
Probleem zit 'm erin dat de skins automatisch geopend
worden, je krijgt bij
het downloaden dus geen melding of je 'm wilt opslaan of
openen, hij word
gewoon geopend....
Dus een verborgen link die via een stukje javascript vanzelf
opent op een site
en het is gebeurd, dit is dus zeker wel een kritiek lek en
er is geen user
interaction voor nodig. Opmerkingen zoals, "dan moet je maar
geen skins
meer instaleren" slaan dus volkomen de plank mis...
neemtniet weg dat de gebruiker nog nodig is om te zorgen dat
er gebruik kan worden gemaakt van de exploit, door het
surfen naar een siite met kwaadwillende code. En dus kan men
niet over een ernstig kritiek lek spreken, maar over een
zwakte die bij verkeerd gebruik pas kritiek word.
helemaal automatisch! Yeah!! Whohoo!
Unix is slecht, moeilijk! Dat moet je niet gebruiken want
daar moet je zowaar alles expliciet opgeven!
Ligt het aan mij of gaat het op windows security gebied
tegenwoordig helemaal nergens meer over? De software klooit
maar wat aan... En vrijwel al die exploits worden
veroorzaakt door het hele concept 'de computer doet het wel
voor de gebruiker, want als we de gebruiker een vraag
stellen wordt het al snel te moeilijk'.
Een tijdelijke oplossing, totdat er een update beschikbaar is:
1. Configuratiescherm -> mapopties. Tabblad Bestandstypen.
2. Zoek daar de extensie WSZ op
3. Kies Geavanceerd
4. En dan het vinkje bij "Openen na downloaden bevestigen" aanzetten
Nu krijg je in ieder geval een melding of je de skin wil openen of niet.. En dan
is het lek een stuk minder kritiek...
confirmed on a fully patched system with Winamp 5.04 using
Internet Explorer 6.0 on Microsoft Windows XP SP1."
En verder dat het lek aanwezig is in Winamp 3.x en Winamp 5.x.
Het lijkt er dus op dat de goeie ouwe 2.x-versie gevrijwaard blijft
van dit lek. Weet iemand of dat inderdaad logisch is? Is de
basisprogrammatuur van zowel versie 3 als 5 wezenlijk anders
dan die van versie 2?
Zo is de media browser zeer gevoelig voor hijacks ....
In de bron van dit bericht staat: "The vulnerability has been
confirmed on a fully patched system with Winamp 5.04 using
Internet Explorer 6.0 on Microsoft Windows XP SP1."
En verder dat het lek aanwezig is in Winamp 3.x en Winamp 5.x.
Het lijkt er dus op dat de goeie ouwe 2.x-versie gevrijwaard blijft
van dit lek. Weet iemand of dat inderdaad logisch is? Is de
basisprogrammatuur van zowel versie 3 als 5 wezenlijk anders
dan die van versie 2?
Winamp 3 en 5 ondersteunen veel uitgebreidere skins dan Winamp 2. Hoe
uitgebreider en gecompliceerder iets wordt, hoe meer kans op
beveiligingslekken. Het is dan ook goed mogelijk dat het lek zich niet
voordoet bij Winamp 2.
Probleem zit 'm erin dat de skins automatisch geopend
worden, je krijgt bij
het downloaden dus geen melding of je 'm wilt opslaan of
openen, hij word
gewoon geopend....
van kort geleden bijvoorbeeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
