Grave falla in alcuni client CDDB

Alcune applicazioni che si interfacciano al celebre database musicale contengono una vulnerabilitÓ che potrebbe mettere a serio rischio la sicurezza degli utenti. Tra questi anche Nokia PC Suite

Emeryville (USA) - La società americana Gracenote, proprietaria del celebre archivio di dati musicali online CDDB, ha avvertito i propri clienti che alcune recenti versioni del proprio software sono afflitte da un serio problema di sicurezza.

Il software di Gracenote non viene distribuito direttamente agli utenti finali ma viene utilizzato dagli sviluppatori per integrare funzionalità di ricerca della musica all'interno delle proprie applicazioni. In questo caso il componente incriminato è il controllo ActiveX che permette alle applicazioni per Windows, tipicamente player, ripper e jukebox, di accedere al database CDDB e recuperare informazioni (titolo, autore, durata, ecc.) relative a una canzone o ad un album.

Secunia, che ha assegnato alla falla un livello di pericolosità "altamente critico", spiega in questo advisory che un malintenzionato potrebbe indurre un utente a visitare un sito web contenente uno script maligno: tale script, innescando il bug del CDDBControl ActiveX Control, può eseguire del codice dannoso.
In un comunicato pubblicato sul proprio sito, Gracenote afferma di aver già distribuito una patch ai suoi clienti. Tra i prodotti vulnerabili vi sono Sony CONNECT Player, Sony SonicStage 3.3 e 3.4, Sony SonicStage Mastering Studio 2.1 e 2.2, e Nokia PC Suite 6.7 e 6.8. L'aggiornamento ai prodotti di Sony può essere scaricato da qui, mentre quello per Nokia PC Suite è disponibile qui. In alternativa, Gracenote ha messo a disposizione questo tool che, una volta lanciato, cerca nel sistema la presenza del controllo ActiveX vulnerabile e, in caso lo trovi, ne disattiva l'accesso da remoto.

La tecnologia di Gracenote viene utilizzata da Apple nel proprio jukebox iTunes, ma in questo caso il programma non sembra interessato dal problema. Va inoltre detto che le piattaforme diverse da Windows, come Mac e Linux, sono immuni dalla vulnerabilità perché non utilizzano la tecnologia ActiveX di Microsoft.
TAG: sicurezza
5 Commenti alla Notizia Grave falla in alcuni client CDDB
Ordina