Grave falla in alcuni client CDDB

Emeryville (USA) – La società americana Gracenote , proprietaria del celebre archivio di dati musicali online CDDB , ha avvertito i propri clienti che alcune recenti versioni del proprio software sono afflitte da un serio problema di sicurezza.

Il software di Gracenote non viene distribuito direttamente agli utenti finali ma viene utilizzato dagli sviluppatori per integrare funzionalità di ricerca della musica all’interno delle proprie applicazioni. In questo caso il componente incriminato è il controllo ActiveX che permette alle applicazioni per Windows, tipicamente player, ripper e jukebox, di accedere al database CDDB e recuperare informazioni (titolo, autore, durata, ecc.) relative a una canzone o ad un album.

Secunia, che ha assegnato alla falla un livello di pericolosità “altamente critico”, spiega in questo advisory che un malintenzionato potrebbe indurre un utente a visitare un sito web contenente uno script maligno: tale script, innescando il bug del CDDBControl ActiveX Control, può eseguire del codice dannoso.

In un comunicato pubblicato sul proprio sito, Gracenote afferma di aver già distribuito una patch ai suoi clienti. Tra i prodotti vulnerabili vi sono Sony CONNECT Player, Sony SonicStage 3.3 e 3.4, Sony SonicStage Mastering Studio 2.1 e 2.2, e Nokia PC Suite 6.7 e 6.8. L’aggiornamento ai prodotti di Sony può essere scaricato da qui , mentre quello per Nokia PC Suite è disponibile qui . In alternativa, Gracenote ha messo a disposizione questo tool che, una volta lanciato, cerca nel sistema la presenza del controllo ActiveX vulnerabile e, in caso lo trovi, ne disattiva l’accesso da remoto.

La tecnologia di Gracenote viene utilizzata da Apple nel proprio jukebox iTunes , ma in questo caso il programma non sembra interessato dal problema. Va inoltre detto che le piattaforme diverse da Windows, come Mac e Linux, sono immuni dalla vulnerabilità perché non utilizzano la tecnologia ActiveX di Microsoft.