Perry
assimiliert
Auf der französischen Sicherheitsseite K-otik ist ein Exploit für den Medienplayer Winamp erschienen. Er nutzt eine Sicherheitslücke bei der Behandlung von Skins, um Anwender beim Anklicken eines Links auf einer Webseite oder in einer E-Mail mit Schädlingen zu infizieren. Allerdings setzt dies voraus, dass der Anwender den Internet Explorer benutzt, da Winamp bei der Installation festlegt, das Microsofts Browser Skins automatisch öffnet. Es gibt erste Hinweise, dass bereits einige Webseiten diese Lücke aktiv ausnutzen; Links zu diesen Seiten sollen derzeit im IRC kursieren.
Winamp-Skins (.wsz) sind komprimierte Container für mehrere Dateien. Unter anderem können HTML, XML und sogar .EXE-Dateien darin enthalten sein. Im veröffentlichten Exploit referenziert das Dokument skin.xml über mehrere Schritte auf ein HTML-Dokument, das über einen Trick in der lokalen Zone des Internet Explorer ausgeführt wird. Über OBJECT- und CODEBASE-Tags startet dieser dann die eingebettete ausführbare Datei calc.exe. Betroffen sind Winamp 3.x und 5.x unter Windows XP mit Service Pack 1, ein Patch steht derzeit noch nicht zu Verfügung. Nullsoft ist über das Problem informiert und arbeitet an einem Fix.
Eine ähnliche Demonstration der unsicheren Verarbeitung von Skins in Winamp in Kombination mit dem Internet Explorer hat der Sicherheitsexperte Arman Nayyeri schon Ende letzten Jahres veröffentlicht. Dort missbrauchte er die Unterstützung für HTML-Hilfedateien, um beliebige Programm auf ein System zu schleusen und zu starten.
Quelle
Winamp-Skins (.wsz) sind komprimierte Container für mehrere Dateien. Unter anderem können HTML, XML und sogar .EXE-Dateien darin enthalten sein. Im veröffentlichten Exploit referenziert das Dokument skin.xml über mehrere Schritte auf ein HTML-Dokument, das über einen Trick in der lokalen Zone des Internet Explorer ausgeführt wird. Über OBJECT- und CODEBASE-Tags startet dieser dann die eingebettete ausführbare Datei calc.exe. Betroffen sind Winamp 3.x und 5.x unter Windows XP mit Service Pack 1, ein Patch steht derzeit noch nicht zu Verfügung. Nullsoft ist über das Problem informiert und arbeitet an einem Fix.
Eine ähnliche Demonstration der unsicheren Verarbeitung von Skins in Winamp in Kombination mit dem Internet Explorer hat der Sicherheitsexperte Arman Nayyeri schon Ende letzten Jahres veröffentlicht. Dort missbrauchte er die Unterstützung für HTML-Hilfedateien, um beliebige Programm auf ein System zu schleusen und zu starten.
Quelle
