Sicherheits-Update für Sonys SonicStage und Connect Player

Ganze drei Monate hat sich Sony Zeit gelassen, um registrierte Anwender von SonicStage oder Connect Player per E-Mail über eine kritische Sicherheitslücke zu informieren, über die Angreifer mittels präparierter Webseiten einen Windows-PC mit Schädlingen infizieren konnten. Die Lücke steckt in einem ActiveX-Control des Drittherstellers Gracenote, den neben Sony auch andere Hersteller zur Abfrage von CD-Daten aus der Gracenote CDDB-Datenbank in ihren Produkten einsetzen, zum Beispiel Nokia in seiner PC Suite.

Bekannt ist der Fehler seit Mitte Juni und betrifft Sony Connect Player, Sony SonicStage Version 3.3, 3.4 sowie SonicStage Mastering Studio in den Versionen 2.1 und 2.2. Anwender von Gracenote-Produkten auf Mac OS oder Linux sind nicht betroffen. Ein Update für die verwundbaren Versionen stellt Gracenote schon seit Ende Juni bereit. In SonicStage 4.0 (SonicStage CP) ist das Problem ebenfalls beseitigt. Warum Sony sich so lange Zeit gelassen hat, seine Kunden zu informieren, ist nicht bekannt. Nokia hat das Problem recht zeitnah in der PC-Suite-Version 6.81 behoben

Siehe dazu auch: (dab)

• Gracenote Security Update June 27, 2006, Fehlerbericht von Gracenote