Das LSS Security Reasearch Team hat eine schwere Sicherheitslücke im beliebten Winamp-Player festgestellt. Bei dem von der AOL-Tochter Nullsoft produzierten Programm lässt sich durch eine entsprechend manipulierte MP3-Datei ein so genannter Buffer Overflow provozieren, der es letztlich ermöglicht, fremden Code in ein Windows-XP-System einzuschleusen und auszuführen. Betroffen sind offenbar die Winamp-Versionen bis 5.093. Nullsoft hat für die nächsten Tage einen Patch angekündigt, der diese schwer wiegende Sicherheitslücke schließen soll. So lange heißt es: Vorsicht bei fremden MP3-Dateien.
Mehr als nur Musik
MP3-Dateien enthalten mehr als nur Musik. Das hat sich offenbar noch nicht überall herumgesprochen. Denn bisher herrschte allerorten Sorglosigkeit beim Abspielen auch fremder MP3-Dateien, die irgendwo aus dem Netz geladen worden waren. Doch MP3-Musikdateien enthalten in aller Regel eine Reihe von Zusatzinformationen, so genannte ID3-Tags, in denen nähere Angaben über das Musikstück abgespeichert sind. Hier findet man etwa den Namen und das Erscheinungsjahr des Albums, von dem ein Titel stammt, sowie Angaben zum Interpreten oder zu seiner Musikrichtung. Mobile MP3-Player können solche Informationen auslesen und dem User etwa per Laufschrift im Display anzeigen. Auch Player-Software wie Winamp verarbeitet in aller Regel ID3-Tags.
Fremder Code wird ausgeführt
MP3-Dateien galten bisher als relativ sicher im Hinblick auf ihr Schadpotenzial. Spätestens die kürzlich im Winamp-Player festgestellte Sicherheitslücke räumt mit diesem vorschnellen Urteil auf. Denn über manipulierte ID3v2-Tags lässt sich der beliebte und weit verbreitete Player aus dem Hause Nullsoft austricksen. Überlange Einträge in den ID3v2-Tags können einen so genannten Buffer Overflow provozieren. Dadurch wird es einem Angreifer möglich, nach dem Abspielen einer manipulierten MP3-Datei fremden Programmcode in das System zu transportieren und ausführen zu lassen.
Betroffene Programmversionen
Laut LSS Security Reasearch sind offenbar alle Winamp-Versionen bis 5.091 betroffen, die auf Windows-Systemen laufen. MPeX.net will nach entsprechenden Tests auch bei der Winamp-Version 5.093 die fragliche Sicherheitslücke festgestellt haben. Winamp-Nutzer, die diese Software auf Windows-Systemen laufen lassen, sollten also generell vorsichtig beim Abspielen fremder MP3s sein. Welche Windows-Systeme betroffen sind, steht nicht mit Sicherheit fest. So ist bislang noch unklar, ob auch Windows XP mit Service Pack 2, das mit zusätzlichen Schutzmechanismen gegen Pufferüberläufe ausgerüstet ist, angreifbar ist.
Erste Hilfe
Wer auf Nummer sicher gehen möchte, kann das Lesen von ID3v2-Tags in Winamp deaktivieren. Er verzichtet dann zwar auf den Komfort, den diese Zusatzinformationen bieten, kann dafür aber relativ sicher sein, dass sein System nicht kompromittiert wird. Das MPeX.net-Team weist allerdings darauf hin, dass eine hundertprozentige Sicherheit durchs Abschalten der Lesefunktion nicht garantiert werden kann, da die Sicherheitslücke derzeit noch zu wenig „ausgetestet“ sei. Winamp-Entwicklerfirma Nullsoft ist das Problem selbstverständlich nicht unbekannt geblieben. Die AOL-Tochter hat angekündigt, in den nächsten Tagen eine gepatchte Winamp-Version auf den Markt zu werfen.
Zurück zur News-Übersicht
