S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 décembre 2002
N° CERTA-2002-AVI-283
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Winamp

Gestion du document

Référence CERTA-2002-AVI-283
Titre Vulnérabilité de Winamp
Date de la première version27 décembre 2002
Date de la dernière version27 décembre 2002
Source(s) bulletin d'information de Winamp
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Winamp 2.81 et 3.0 (si leur téléchargement a été réalisé avant le 17 décembre 2002).

Résumé

Plusieurs débordements de mémoire permettant l'exécution de code arbitraire à distance sont présents dans différentes versions de Winamp.

Description

Le logiciel Winamp permet de lire des fichiers au format MP3.

Une mauvaise gestion des balises (tag) « ID3v2 artist » par le logiciel Winamp permet d'exécuter du code arbitraire au moyen d'un fichier MP3 habilement construit.

Ces vulnérabilités sont exploitables à distance.

Solution

  • Pour les utilisateurs de Winamp 2.81 :

    Mettre à jour Winamp dans sa dernière version depuis le site web de Winamp :

    http://classic.winamp.com/download

  • Mettre à jour Winamp dans sa dernière version 3.0 build #488 depuis le site web de Winamp :

    http://www.winamp.com/download

    Pour vérifier la version de Winamp 3.0 utiliser le menu « A Propos » (ou « about » ).

Documentation

Gestion détaillée du document

    le 27 décembre 2002
    version initiale.