[winamp t/m 5.02] veiligheidsrisico

Hmmm, moet ik dit geloven?
Er staat nergens bij HOE dat het kan gebeuren en het lijkt me eerlijk gezegd sterk dat een lek pas na een jaar of 6 ontdekt wordt (ik bedoel, het geld voor versies t/m 5 en hoe oud is winamp nou, ik kan me herinneren dat ik het had op mijn P200 die ik in '98 gekocht heb en dat was winamp 1.7, dus hij zal nog wel wat jaren ouder zijn).

Misschien deze?
http://secunia.com/advisories/11285/

En dit is niet de enige bug (niet verbazingwekkend), eronder:

- WinAMP MIDI File Buffer Overflow Vulnerability
- WinAMP multiple buffer overflows
- WinAMP buffer overflow
- WinAMP buffer overflow allows execution of arbitrary code

Overigens betekent dit dus niet dat je pc zomaar gekraakt kan wordne, je zal toch eerst een of ander vaag bestand moeten downloaden.

[ Voor 89% gewijzigd door guanpedro op 05-04-2004 19:26 ]

* RaZ gaat dan maar 2.9 installen, waarschuwingdienst meldt alleen vanaf 2.91
En aangezien 5.0.3 30-03-2004 released is, vaag dat er dan pas NU een melding van komt.
Staat niets over op de site van winamp zelf overigens.
Dan nog, wie draait er nu nogg Fasttracker dingen?

RaZ schreef op 05 april 2004 @ 19:25:
Dan nog, wie draait er nu nogg Fasttracker dingen?

ik

Terw_Dan schreef op 05 april 2004 @ 19:25:
[...]


ik

Maar met winamp? Naja, niet meer doen dus

Maar wel vaag dat het voor 2.91 niet was (alleen bericht van die waarschuwingsdienst gelezen trouwens) Ik heb hier nogwel een kwik oudere installs liggen. Maar ik doe overigens niets met midi & fasttracker

Ach kom op, niet meteen een oudere installeren alleen omdat er een of andere vage exploit is gevonden (waarvan nog niet een proof of concept voor is geschreven). Dat is wel heel erg overtrokken.

EDIT:
misschien ook niet:

NGSS researchers have proven that code execution is possible and that the
malicious media file can be activated remotely simply by rendering a
specially crafted html document.

[ Voor 39% gewijzigd door guanpedro op 05-04-2004 19:32 ]

pffff lekker dan zit die bug ook in xmms ?

RaZ schreef op 05 april 2004 @ 19:25:
* RaZ gaat dan maar 2.9 installen, waarschuwingdienst meldt alleen vanaf 2.91

Vaak worden niet alle oude versies getest omdat men verwacht dat je ooit toch een keer upgrade

The vulnerability reportedly affects versions 2.91 through 5.02. Prior versions may also be affected.

Downgraden is dus iig niet slim

elevator schreef op 05 april 2004 @ 19:55:
[...]

Vaak worden niet alle oude versies getest omdat men verwacht dat je ooit toch een keer upgrade


[...]


Downgraden is dus iig niet slim

Nou lekker dan, ik vind Versie 5 dus echt super bagger, werkt veels te traag, vreet me te veel resources ( moet volop draaien )
Maargoed, ik speel geen .XM of .MID, maarja, als die handel embedded (of hoe het ook mag heten) in html-pages zit, ben je ook mooi klaar.

Goeie oude software moet ik dus mooi voor een vervanger gaan zoeken

Edit:
[helder moment]
Ik haal .MID en .XM wel uit m'n lijst datíe winamp runt
[/helder moment[

[ Voor 9% gewijzigd door RaZ op 05-04-2004 19:59 ]

Het kan trouwens alleen als je een livestream gaat beluisteren, bijvoorbeeld door op een .pls (?) te klikken online op een website .. dan pas kan je die buffer overflow krijgen...

En inderdaad, lijkt mij ook dat ze met Winamp 2.91 ook alle versies daaronder bedoelen... van reeks 2.x iig.

In Winamp 5 is het al opgelost.. is al een nieuwe versie voor.. Nou Winamp2 nog

Ach.. ik hou het gewoon bij 2.81, nooit last gehad van die bug en zal het waarschijnlijk ook niet krijgen.. waar maken jullie je zo druk om? Alsof je ineens last gaat krijgen van een bug die er al jaren in zit.

BrEeZeR schreef op 06 april 2004 @ 08:52:
Ach.. ik hou het gewoon bij 2.81, nooit last gehad van die bug en zal het waarschijnlijk ook niet krijgen.. waar maken jullie je zo druk om? Alsof je ineens last gaat krijgen van een bug die er al jaren in zit.

Sommige mensen nemen liever het zekere voor het onzekere, en blijven liever 99% secure ...

BrEeZeR schreef op 06 april 2004 @ 08:52:
Ach.. ik hou het gewoon bij 2.81, nooit last gehad van die bug en zal het waarschijnlijk ook niet krijgen.. waar maken jullie je zo druk om? Alsof je ineens last gaat krijgen van een bug die er al jaren in zit.

Aangezien die bug nu openbaar is kun je verwachten dat er misbruik van gemaakt gaat worden..

[para-mode]
Als ik dit zo zie vraag ik me toch gelijk af of het niet een stunt is om de gebruikers naar een nieuwe versie over te laten stappen
[/para-mode]

Heb ik nou toevallig net een reinstall achter de rug en heb .03 al draaien

[ Voor 5% gewijzigd door sPENKMAN op 06-04-2004 13:11 ]

Of het zou een stunt van Microsoft zijn om iedereen te laten overstappen op Windows Media Player.

Voor de zekerheid ben ik ook maar ff overgestapt op versie 5.03.

Is de in_mod.dll van die nieuwe 5 versie niet per ongeluk backwards compatible met de 2.x serie?

Nu versie 2.xx blijkbaar niet gepatched gaat worden, kan iemand mij vertellen of ik in versie 2.xx gewoon de MOD, XM en MID plugins (DLL's) van versie 5.03 kan gebruiken?

Terw_Dan schreef op 05 april 2004 @ 19:25:
[...]


ik

Je moet modules afspelen met ModPlug Veeeel beter dan WinAMP. Hij ondersteunt tenminste alle effecten en het loopen en een song.
Plus nog veel meer....

Modplug