Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Vulnerabilidad en el tratamiento de MP3 de Winamp

Vulnerabilidad en el tratamiento de MP3 de Winamp

Por Leave a Comment

Un problema en Winamp, el popular reproductor de música MP3, puede
permitir a un atacante incluir etiquetas html para provocarán que el
programa ejecute código html y javascript malicioso.
Winamp incluye un pequeño navegador para mostrar información sobre las
canciones que se están reproduciendo y que se encuentra activo por
defecto. Todas las canciones que se reproducen con Winamp el programa
direccionará el mininavegador a una dirección URL de la forma:
http://info.winamp.com/winamp/WA.html?Alb=&Art=&Cid=winamp&Tid=&Track=Brick
Donde Winamp coge la información de título/artista/álbum de la etiqueta
ID3v1/ID3v2 en el archivo MP3.

Se ha descubierto un problema en el programa que puede permitir a
atacantes la inclusión de etiquetas HTML en estos campos
(título/artista/álbum) que provocarán la ejecución de código html y
javascript malicioso. Esta vulnerabilidad se puede convertir en una
manera efectiva de realizar un ataque de Cross Site Scripting o para
efectuar un redireccionamiento a otra URL maliciosa.

Son vulnerables a este problema las versiones de Winamp 2.78c y
anteriores (hasta la versión 2.10) y Winamp versión 2.79

Antonio Ropero
antonior@hispasec.com

Más información:

Securiteam:
http://www.securiteam.com/windowsntfocus/5MP091P6UW.html

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.