Web

 

Leck in Winamp macht PCs angreifbar

26.08.2004

Der dänische IT-Sicherheitsdienstleister Secunia warnt vor einer Sicherheitslücke im populären Multimedia-Player Winamp (Versionen 3.x und 5.x). Sie tritt bei der Verarbeitung von "Skins" genannten individuellen Benutzerführungen auf und ermöglicht es Angreifern, Schadroutinen auf betroffene Rechner einzuschleusen.

Skins sind in Archiven mit der Dateiextension ".wsz" (Winamp Skin Zip) enthalten. Darin lassen sich auch Dateien packen, die zum Anzeigen von Skins nicht notwendig sind. So kann zum Beispiel über eine XML-Datei eine HTML-Seite referenziert werden, die dann in der lokalen Sicherheitszone geöffnet wird und eingebettete Dateien startet. Einen entsprechenden Exploit haben die Experten des französischen IT-Security-Unternehmens K-Otik veröffentlicht.

Secunia hat die Sicherheitslücke unter Windows XP mit installiertem Service Pack 1 nachvollzogen, wobei auf eine manipulierte WSZ-Datei mit dem Internet Explorer 6 zugegriffen wurde, der sie sofort öffnete. Die Entwickler von Winamp bei der AOL-Tochter Nullsoft arbeiten eigenen Angaben zufolge bereits an einem Patch, der das Leck beseitigen soll. (lex)