Winamp über Playlists angreifbar [Update]

Für die derzeit aktuelle Version 5.12 des Windows-Medienplayers Winamp ist ein 0-Day-Exploit im Umlauf, der manipulierte Playlisten erstellt, die dem Mediaplayer Code unterschieben. Eine aktualisierte Version des Players steht noch nicht bereit.

Durch Präparieren des File1-Eintrages in einer PLS-Playlist können Angreifer beliebigen Code in das System einbringen, der dann ausgeführt wird. Der Fehler lässt sich auch über Webseiten ausnutzen – ohne weitere Benutzerinteraktion. Dazu muss der Angreifer auf einer böswilligen Website nur die schadhafte PLS-Datei in einem iframe verlinken.

Bis zur Veröffentlichung einer fehlerbereinigten Winamp-Version sollten Anwender die Verknüpfung von PLS-Playlisten mit der Software löschen. Das Aktivieren der mit Service Pack 2 in Windows XP eingeführten Datenausführungsverhinderung (Data Execution Prevention, DEP) verhindert in unseren Tests die Auswirkungen des Exploits und schließen Winamp, bevor das System zu Schaden gekommen ist.

Um die DEP zu aktivieren, genügt ein Rechtsklick auf das Arbeitsplatzsymbol, das Auswählen von Eigenschaften sowie das anschließende Anwählen des Karteireiters Erweitert. In dem Feld zur Systemleistung führt dann der Klick auf Einstellungen zu einem weiteren Windows-Dialog, auf dem der rechtsstehende Reiter mit dem Titel Datenausführungsverhinderung die Optionen birgt. Hier sollte der zweite Punkt eingestellt werden: Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten aktivieren:. Anschließend ist noch ein Neustart des Systems notwendig.

Update:

Seit kurzem ist auf der Winamp-Homepage die Version 5.13 der Software herunterzuladen, die für den vorgestellten Exploit nicht mehr anfällig ist.

Siehe dazu auch:

• Nullsoft Winamp Player PLS Handling Remote Buffer Overflow Vulnerability, Meldung vom FrSIRT mit PoC-Exploit-Code
• Download der aktualisierten Winamp-Version
• Befehlsverweigerung, Artikel zum No Execute-Bit auf heise Security

(dmk)