Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Winamp 2.81 et 3.0 (si leur téléchargement a été réalisé avant le 17 décembre 2002).

Résumé

Plusieurs débordements de mémoire permettant l'exécution de code arbitraire à distance sont présents dans différentes versions de Winamp.

Description

Le logiciel Winamp permet de lire des fichiers au format MP3.

Une mauvaise gestion des balises (tag) « ID3v2 artist » par le logiciel Winamp permet d'exécuter du code arbitraire au moyen d'un fichier MP3 habilement construit.

Ces vulnérabilités sont exploitables à distance.

Solution

  • Pour les utilisateurs de Winamp 2.81 :

    Mettre à jour Winamp dans sa dernière version depuis le site web de Winamp :

    http://classic.winamp.com/download
    
  • Mettre à jour Winamp dans sa dernière version 3.0 build #488 depuis le site web de Winamp :
    http://www.winamp.com/download
    

    Pour vérifier la version de Winamp 3.0 utiliser le menu « A Propos » (ou « about » ).

Documentation

Le bulletin d'information #9680 de Winamp :

http://www.winamp.com/news.jhtml?articleid=9680