viernes, 16 de diciembre de 2011

Ejecución de código arbitrario en Winamp

Se han anunciado dos vulnerabilidades en Winamp (versiones 5.622 y anteriores), que podrían permitir a un atacante remoto la ejecución de código arbitrario.

Winamp es uno de los reproductores de audio y vídeo más populares para la plataforma Windows, aunque también está disponible para otras como Mac y Android. Winamp soporta una gran cantidad de formatos multimedia, entre los que se encuentran MID, MIDI, MP1, MP2, MP3, MP4, AAC, Ogg Vorbis, WAV, WMA, CDA, KAR (Karaoke), AVI, MPEG y NSV.

La vulnerabilidad, con CVE-2011-3834, reside en dos desbordamientos de enteros en el plugin "in_avi.dll", de tal forma que un atacante puede crear un archivo AVI que podrá permitir la ejecución de código arbitrario con los privilegios del usuario.

Se ha publicado la versión 5.623 que corrige estos problemas:

Más información:

Winamp AVI Processing Two Integer Overflow Vulnerabilities
http://secunia.com/secunia_research/2011-81/

Winamp 5.623 (Latest)

Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada