C'Ŕ un buco nel MIDI di WinAMP

Un ricercatore ha scoperto e divulgato una vulnerabilitÓ che affligge alcune versioni di WinAMP e che potrebbe consentire ad un cracker di eseguire codice a propria scelta sul computer-bersaglio

Roma - Un esperto di sicurezza ha divulgato i dettagli di una vulnerabilitÓ scoperta in un plug-in che accompagna il celebre player multimediale WinAMP.

In un post pubblicato sulla mailing-list di sicurezza Full-Disclosure, Luigi Auriemma ha spiegato che la falla interessa l'ancor diffusa versione 2.91 di WinAMP, e in particolare il plug-in "IN_MIDI.DLL" che si occupa di riprodurre i file MIDI.

Secondo l'esperto, un malintenzionato potrebbe indurre l'utente a scaricare un file MIDI malformato che, una volta aperto, mandi in crash il player ed esegua del codice.
Auriemma sostiene di essere riuscito a mandare in crash, sfruttando lo stesso bug, anche WinAMP3, tuttavia in questa versione non Ŕ ancora riuscito a trovare un modo per eseguire del codice.

Tutte le versioni del plug-in inferiori alla 3.01, questa compresa, sarebbero interessate dal problema.

Auriemma afferma di aver segnalato la vulnerabilitÓ a Nullsoft, creatrice di WinAMP, pi¨ di un mese fa, ma di non aver ancora ricevuto una risposta. In attesa del rilascio di un'eventuale patch, ha spiegato che gli utenti di WinAMP possono proteggersi da brutte sorprese associando la riproduzione automatica dei file MIDI ad un altro player.
TAG: sicurezza
17 Commenti alla Notizia C'Ŕ un buco nel MIDI di WinAMP
Ordina
  • sul sito ufficiale compare la 2.91, tuttavia da allora (come saprete) sono uscite in via del tutto ufficiosa la 2.92 e anche la 2.95. Quest'ultima utilizza la plug MIDI 3.03...

    theos
    non+autenticato
  • winamp3 fa schifo in confronto a winamp 2.x (continua a espandersi)
    non+autenticato

  • Ottimo: http://coolplayer.sourceforge.net/

    Superlativo: http://www.foobar2000.org/


    E che WinAMP venga dimenticato insieme al suo browserino stupido ed inutile.
    non+autenticato
  • bravo peccato che se non ci fosse stato winamp a definire nuovi canoni adesso giocheremmo ancora con il lettore multimediale di windows...
    non+autenticato
  • - Scritto da: Anonimo
    > http://www.xmms.org/

    Sul mio knoppix va da dio, sapete se esiste un porting per win* ??

    --
    _r_
    non+autenticato
  • "[...] ancor diffusa versione 2.91 di WinAMP [...]"

    Si rendono conto ke e' la ver (ufficiale) + recente di Winamp?!
    T' e' credo ke e' ancora diffusa: non penso ke la 2.95 o la 5 alpha sia usate da molti utenti...... ^^'''
    non+autenticato
  • Come non detto... capito dove han fatto confusione:
    Winamp != Winamp3

    "Winamp 3.0" non e' mai stato rilasciato e probabilmente non lo sara' mai, proprio x evitare di far confusione con Winamp3.

    Quando rilasceranno "Winamp 5" (nome provvisorio, dove 5 indica la fusione di Winamp 2 con Winamp3) l' ipotesi + verosimile e' ke i nomi dei 2 programmi cambieranno del tutto, cosi' da meglio rimarcare la differenza fra Winamp & Winamp3.
    non+autenticato

  • - Scritto da: Anonimo
    > Come non detto... capito dove han fatto
    > confusione:
    > Winamp != Winamp3
    >
    > "Winamp 3.0" non e' mai stato rilasciato e
    > probabilmente non lo sara' mai, proprio x
    > evitare di far confusione con Winamp3.
    >
    > Quando rilasceranno "Winamp 5" (nome
    > provvisorio, dove 5 indica la fusione di
    > Winamp 2 con Winamp3) l' ipotesi +
    > verosimile e' ke i nomi dei 2 programmi
    > cambieranno del tutto, cosi' da meglio
    > rimarcare la differenza fra Winamp &
    > Winamp3.

    Io ho provato winamp3 ... una tragedia. Sono tornato immediatamente a winamp 2.91.

    Il bug MIDI (da come descritto nell'articolo) e' praticamente identico a quello di windows media player. Non e' che patchandolo scompare il bug anche da winamp?

    ciao
    non+autenticato
  • - Scritto da: Anonimo
    >
    > Il bug MIDI (da come descritto
    > nell'articolo) e' praticamente identico a
    > quello di windows media player. Non e' che
    > patchandolo scompare il bug anche da winamp?

    Dubito fortemente, dato ke questo si trova in in_midi.dll, un file specifico x Winamp.Occhiolino

    BTW ti suggerisco di passare a Winamp 2.95.
    Sono stati corretti diversi problemi (come quello piuttosto grossolano relativo ai tag negli Ogg) ed hanno aggiunto il supporto nativo x AAC (gli mp4 necessitano ancora dell' apposito plugin, mentre gli HE AAC vengono letti ma l' SBR non viene interpretato).
    http://www.winampheaven.net/
    non+autenticato
  • > Io ho provato winamp3 ... una tragedia. Sono
    > tornato immediatamente a winamp 2.91.

    purtroppo molti utenti non sono in grado di usarlo correttamente quindi non hanno compreso l'evoluzione che c'è stata nella serie 3 che probabilmente rivedrà la luce quando sarà più semplice da sfruttare e quando gli utenti capiranno che non posso pretendere di far girare un software nuovo su pc antiquati... cmq ne sono uscite molte build interne, quanti hanno provato la build 499? ce l'ho ed è 10 volte meglio e + veloce della release ufficiale.

    saluti!
    non+autenticato

  • - Scritto da: Anonimo
    > > Io ho provato winamp3 ... una tragedia.
    > Sono
    > > tornato immediatamente a winamp 2.91.
    >
    > purtroppo molti utenti non sono in grado di
    > usarlo correttamente quindi non hanno
    > compreso l'evoluzione che c'è stata nella
    > serie 3

    Evoluzione? Cose tipo che non ti memorizza più la posizione corrente nella playlist quando lo chiudi, legge male i tag IDV2 creati con il WinAmp2 per es. non aggiungendo gli accapo a fine riga e quindi addio alle lyrics di tanti brani, non permette di copiare il nome del file con il percorso negli appunti (quando hai il brano nei temporanei di Internet e vuoi salvarlo da un'altra parte), non supporta i plugin del WinAmp2 che ha una vastissima biblioteca per ogni uso, non supporta Mp3pro ecc. ecc.


    non+autenticato
  • - Scritto da: Anonimo
    >
    > non supporta i plugin del WinAmp2 che ha una vastissima
    > biblioteca per ogni uso

    E' proprio uno dei vantaggi di Winamp3: la nuova arkitettura dei plugin e' notevolmente + potente rispetto a quella di Winamp, tant' e' ke verra' importata anke in Winamp 5 (il quale pero' non perdera' la compatibilita' col passato).



    - Scritto da: Anonimo
    >
    > non supporta Mp3pro

    Se Winamp3 non lo supporta e' porprio x' si tratta d' un formato completamente kiuso (non sono disponibili nemmeno le specifike) e di scarsa qualita' (rispetto a WMA e HE AAC).
    non+autenticato
  • per favore avrei bisogno del link con il quale posso dimostrare ad uno scettico che WinAMP 2X e WinAMP3 sono due programmi e non uno la versione successiva dell'altro.
    grazie
    non+autenticato

  • - Scritto da: Anonimo
    > per favore avrei bisogno del link con il
    > quale posso dimostrare ad uno scettico che
    > WinAMP 2X e WinAMP3 sono due programmi e non
    > uno la versione successiva dell'altro.
    > grazie


    Winamp.com ?Occhiolino

    li trovi entrambi, con tanto di schermate. Ovviamente sono due programmi, uno la versione successiva dell'altro.
    questo almeno in italiano.

    zia polly
    non+autenticato
  • - Scritto da: Anonimo
    >
    > Ovviamente sono due programmi, uno la
    > versione successiva dell'altro.
    > questo almeno in italiano.

    In inglese ho sempre saputo ke c' entrassero ben poco l' uno con l' altro, e non penso ke traducendo sia mutata la realta'...... ^^'
    non+autenticato

  • - Scritto da: Anonimo
    >
    [...]
    > Ovviamente sono due programmi, uno la
    > versione successiva dell'altro.
    > questo almeno in italiano.
    >
    > zia polly

    Sì e no. Credo che nei forum di winamp.com se ne discuta ancora. Mi pare che gli sviluppatori ci tengano a sottolineare che Winamp3 (tutto attaccato) è tutta un'altra bestia rispetto al Winamp 2.x 'classic' e non il suo erede naturale. Se ricordo bene, l'uscita (prematura) di Winamp3 è stata imposta da AOL, sotto la minaccia che avrebbe "chiuso il rubinetto" alla Nullsoft se non avesse rilasciato entro breve una versione 3 di Winamp. Credo che i capoccioni si siano guardati intorno e abbiano notato che tutti gli altri player in circolazione dal lettore freeware più scrauso a WMP supportavano le skin freeform (si chiamano così?) e Winamp no! Occhiolino Alla Nullsoft non stavano certo in panciolle, ma lavoravano ad una nuova tecnologia di ampio respiro denominata Wasabi e avevano già reso disponibili delle beta di un "eventuale" Winamp 3.x che impiegavano questa tecnologia. Messi alle strette hanno preso l'ultima beta, l'hanno lucidata un po' e hanno annunciato, sfidando la sorte: "Ecco, è pronto!" Scegliendo quel nome, da un lato facevano contenti i capi (ma anche i fans) che si aspettavano una versione 3 (e se gli andava bene l'avrebbero considerata tale anche loro...), dall'altro sottintendevano(?) che era più una specie di dimostrazione concreta delle capacità della tecnologia Wasabi che un vero e proprio Winamp 3.x, qualcosa di completamente diverso insomma. Forse erano consapevoli che ben pochi avrebbero colto questo velato sottinteso, ma infilare MP3 nel nome del più popolare lettore di questo formato era così figo (gli devono piacere molto i giochini con i nomi alla Nullsoft, vedi Winamp 5) che non ne hanno potuto fare a meno! Occhiolino Purtroppo il nuovo "media player" ha deluso le aspettative, ricevendo aspre critiche soprattutto dai possessori di macchine più datate per il suo (ab)uso delle risorse e l'instabilità, per cui lo sviluppo di Winamp3 si è di fatto arenato, mentre è continuato quello di Winamp 2.x, di cui "Winamp 5" è la naturale continuazione. Praticamente "5" eredita solo le skin da Winamp3, che forse finirà nel dimenticatoio.

    P.S.: scusami, sono scemo... cosa vuol dire "in italiano"? Occhiolino
    non+autenticato