Drei gefährliche Sicherheitslücken in Winamp entdeckt

Über Ostern wurde im beliebten Multimedia-Player Winamp eine Reihe von Sicherheitslücken entdeckt, die von einem Angreifer genutzt werden können, um beliebigen Code auszuführen. Bisher haben die Entwickler noch kein Update zur Verfügung gestellt. Entdecker der drei Fehler ist der Sicherheitsexperte Piotr Bania. Er konnte die Probleme in der aktuellen Winamp-Version 5.33 bestätigen. Man geht davon aus, dass auch frühere Versionen des Players betroffen sind. Ein Angreifer hat die Möglichkeit, beliebigen Code in Dateien der Formate MatLab (.mat), Impulse Tracker (.it) und ScreamTracker 3 (.s3m) zu integrieren, die Winamp beim Öffnen ohne Nachfrage ausführt.

Da diese Dateiformate eher selten vorkommen, wird die Gefahr, die von diesen Lücken ausgeht, derzeit noch als gering eingeschätzt. Es ist allerdings bloß eine Frage der Zeit, bis Spammer derartige Dateien in ihre Mails integrieren, um so beispielsweise neue Spam-Bots zu erschaffen. Bis ein Update erhältlich ist, sollte die Zuweisung der Dateitypen auf Winamp aufgehoben werden.