Skin al buco per Winamp

Il celebre player deve fare i conti con un problema di sicurezza piuttosto grave legato alle skin, file che possono essere modificati da un cracker per compromettere il computer di un utente. Patch in arrivo


Roma – In Winamp , uno dei media player per Windows più popolari, si cela una vulnerabilità piuttosto seria legata alle skin, i noti add-in che permettono di cambiare look al programma.

Il bug, ancora privo di patch, può essere utilizzato da un cracker per compromettere la sicurezza di un PC e, attraverso l’esecuzione di un programma malevolo, prenderne eventualmente il controllo.

Secunia ha spiegato in un advisory che il problema è causato dalle insufficienti restrizioni applicate ai file zip (.wsz) che contengono le skin di Winamp: questo fa sì che un sito Web malevolo possa indurre l’utente a scaricare una skin che, una volta aperta da Winamp, è in grado di eseguire del codice.

“Con Internet Explorer – ha avvertito Secunia – questo può essere fatto senza nessuna azione da parte dell’utente”. Anche per tale ragione la società di sicurezza ha classificato la pericolosità della falla come “estremamente critica”.

Ad aggravare il problema interviene il fatto che l’exploit è già in circolazione e che la vulnerabilità è già stata utilizzata per diffondere dello spyware attraverso alcuni canali IRC. Secondo quanto riportato dalla società di sicurezza francese K-Otik Security , negli scorsi giorni sono stati infatti diffusi dei messaggi di chat contenenti un link che, una volta cliccato, poteva infettare gli utenti di Winamp con programmi spioni.

Il bug di Winamp ricorda da vicino quello che lo scorso anno venne scoperto in Windows Media Player, un software che al pari del jukebox di Nullsoft gestisce le skin per mezzo di documenti in formato XML.

Secunia ha confermato l’esistenza della vulnerabilità in Winamp 3.x e 5.x (fino all’attuale versione 5.04). America Online, proprietaria di Nullsoft, ha fatto sapere di essere impegnata nello sviluppo di una soluzione che corregga il problema: è dunque lecito attendersi, nel corso dei prossimi giorni, il rilascio di una nuova minor release del player.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Re: Snake oil
    il tuo è un ottimo punto!Peccato che questi simpatici ragazzi del nord faranno esattamente il contrario, un bel algo closed e bucatissimo, per farci divertire ad exploitarlo per i prossimi 2-3 anni.
  • Anonimo scrive:
    e poi il governo...
    poi il governo si metterà a chiedere TUTTI i tabulati *solo* di quelli che usano la crittografia, si faranno dare la chiave e il sistema e ciao alla crittografia.e poi la crittografia si dovrebbe avere sulla VOCE.
  • Anonimo scrive:
    ottima idea
    Speriamo non lo vendano poi alla NSA e alla CIA "chiavi in mano"...
Chiudi i commenti