Spiel mir das Lied vom Exploit: VirtualDJ führt Code in MP3s aus

Die Entwickler der DJ-Software VirtualDJ haben mit dem Update auf Version 7.4 einen Bug bei der Auswertung von ID3-Tags behoben, der sich im Nachgang als kritische Sicherheitslücke entpuppte. Entgegen der Angaben im Changelog, wonach missgebildete ID3-Tags lediglich potenziell zum Absturz führen können, eignet sich der Bug nämlich sogar zum Einschleusen von Schadcode.

Es kursiert bereits ein Exploit, der den Buffer Overflow beim Verarbeiten des ID3-Tags unter Windows ausnutzt. Konkret kommt es bei der Auswertung des Songtitels ("Title") zu dem Overflow. Das Abspielen einer verseuchten MP3-Datei mit VirtualDJ führt zur Infektion des Rechners. Hat man das DJ-Programm installiert, sollte man umgehend auf die aktuelle Version umsatteln – insbesondere dann, wenn man mit MP3s aus nicht vertrauenswürdigen Quellen hantiert. Das Update behebt darüber hinaus zahlreiche weitere Bugs. (rei)