zurück zum Artikel

Erste Web-Seiten infizieren Windows-Systeme mit Spyware, indem sie spezielle Playlisten einbetten, die eine Lücke in Winamp ausnutzen.

Erste Web-Seiten infizieren Windows-Systeme mit Spyware, indem sie spezielle Playlisten einbetten, die eine kürzlich bekannt gewordene Lücke [1] in Medienplayer Winamp ausnutzen, berichtet [2] der Herstellers von Sicherheitssoftware Sunbelt. Winamp habe die auf einer "schädlichen Website" gefundene Datei x.pls sofort geöffnet und den Code ausgeführt. Selbst Antiviren-Software biete kaum Schutz, bis auf McAfees Wächter erkannte bei einem Test auf Virustotal [3] kein einziges AV-Programm den Exploit.

Im Falle einer Infektion wird unter anderem der "Suchassistent" CWS Looking-For.Home [4] und das vorgebliche Antispyware-Programm SpySheriff [5] installiert, das dann dramatisch jede Menge angebliche Sicherheitslücken, Hintertüren und andere Gefahren auf dem Rechner meldet. Um diese zu beseitigen, muss man jedoch die Gebühren für die Vollversion entrichten. Dieses Geschäft mit der Angst und Unwissenheit der Anwender erlebt derzeit einen wahren Boom.

Normalerweise nutzt Spyware vor allem Sicherheitslücken in Windows direkt (zum Beispiel über WMF-Dateien [6]) oder im Internet Explorer. Dass eine Lücke in einem Programm eines Drittherstellers gezielt ausgenutzt wird, ist eher ungewöhnlich und wohl auf die in diesem Fall recht hohe Verbreitung von Winamp zurückzuführen. Das Problem betrifft die Winamp-Version 5.12. Bei ihr ist es möglich, durch Präparieren des File1-Eintrages in einer PLS-Playlist beliebigen Code in ein System einzubringen. Seit vergangener Woche steht auf der Winamp-Homepage die Version 5.13 des Players bereit, die für den Ende Januar vorgestellten Exploit nicht mehr anfällig ist. Nutzer früherer Versionen werden durch ein Meldungsfenster auf das Update hingewiesen und sollten es möglichst sofort installieren.

Siehe dazu auch: (anw [7])

• Winamp über Playlists angreifbar [8] auf heise Security
• Winamp exploit found in the wild [9], Eintrag im Sunbelt-Blog
• Download [10] der aktualisierten Winamp-Version

URL dieses Artikels:
https://www.heise.de/-172409

Links in diesem Artikel:
[1] https://www.heise.de/news/Winamp-ueber-Playlists-angreifbar-Update-170352.html
[2] http://sunbeltblog.blogspot.com/2006/02/winamp-exploit-found-in-wi_113891339953448796.html
[3] http://www.virustotal.com
[4] http://research.sunbelt-software.com/threat_display.cfm?name=Looking-For.Home%20Search%20Assistant&threatid=14938
[5] http://research.sunbelt-software.com/threat_display.cfm?name=SpySheriff&threatid=39741
[6] https://www.heise.de/news/Microsoft-veroeffentlicht-WMF-Patch-vorab-Update-163389.html
[7] mailto:anw@heise.de
[8] https://www.heise.de/news/Winamp-ueber-Playlists-angreifbar-Update-170352.html
[9] http://sunbeltblog.blogspot.com/2006/02/winamp-exploit-found-in-wi_113891339953448796.html
[10] http://www.winamp.com/player/

Copyright © 2006 Heise Medien