丹麦安全公司Secunia当地时间8月25日宣布在语音、视频播放软件“Winamp”中存在安全漏洞（英文）。只要使用Internet Explorer（IE）浏览做过手脚的Web网页，就可能突破Winamp的安全漏洞运行任意程序，且目前已经出现了突破这一安全漏洞的代码（程序）。补丁与修正版尚未公开。Secunia提出的对策是“使用其他产品”，同时不要接近可疑的Web网页也非常重要，Winamp用户务必引起注意。

　　关于此次的安全漏洞，在销售商与用户等还没有公开相关信息之前，就已经出现了突破这一安全漏洞的代码（程序）。这些代码证明了安全漏洞的存在，也就是“0-day exploit”。从安全公司美国PivX Solutions向该公司邮件列表注册用户发送的邮件来看，至少在7月22日就已经出现了突破该安全漏洞的代码。

　　导致此次安全漏洞的原因，是Winamp没有仔细检查压缩的皮肤文件（可改变Winamp外观等的文件，扩展名为wsz）。如果读取了做过手脚的皮肤文件，就可以随意执行放置在Web站点等的任意程序，执行程序时不会出现警告对话框等。

　　另外，还通过IE自动向Winamp发送wsz文件。也就是说，只要浏览做过手脚的Web网页，就会向Winamp发送wsz文件，并通过wsz文件在Windows机器上运行被指定的可执行文件（病毒与间谍软件等）。现在互联网上已经公开了可执行任意文件的wsz文件与可读取该文件的HTML文件等。如果使用这些文件，制作“让Winamp用户执行任意程序的Web网页”非常容易。

　　目前尚未公开补丁与修正版本。Secunia已经确认在安装了所有补丁与服务包的IE 6 ＋ Windows XP SP1环境下，最新版Winamp 5.04仍会受到影响。现在没有任何特别有效的对策，Secunia提出的对策是“使用其他产品”。

デンマークSecuniaは現地時間8月25日，音声／動画再生ソフト「Winamp」にセキュリティ・ホールがあることを公表した。細工が施されたWebページをInternet Explorer（IE）で閲覧するだけで，Winampのセキュリティ・ホールを突かれて任意のプログラムを実行させられる。しかも，このセキュリティ・ホールを突くコード（プログラム）が既に出回っている。パッチや修正版は未公開。Secuniaでは，対策として「別の製品を使うこと」を挙げている。怪しいWebページに近寄らないことも重要だ。Winampユーザーは十分注意してほしい。  

　今回のセキュリティ・ホールについては，ベンダーやユーザーなどから情報が公表される前に，このセキュリティ・ホールを突くコード（プログラム）が出回った。コードによって，セキュリティ・ホールの存在が明らかとなったのである。つまり，“0-day exploit”である。セキュリティ・ベンダーである米PivX Solutionsが同社のメーリング・リスト登録者に送ったメールによると，少なくても7月22日の時点で，セキュリティ・ホールを突くコードが出回っていたという。

　今回のセキュリティ・ホールは，圧縮されたスキン・ファイル（Winampの外観などを変更するためのファイル。拡張子はwsz）をWinampがきちんとチェックしないことが原因。細工が施されたスキン・ファイルを読む込むと，Webサイトなどに置かれた任意のプログラムを勝手に実行させられる。このとき，警告ダイアログなどは表示されない。

　しかも，IEではwszファイルは自動的にWinampに渡される。つまり，細工が施されたWebページを閲覧するだけで，wszファイルがWinampに渡され，wszファイルで指定された実行形式ファイル（ウイルスやスパイウエアなど）がWindowsマシン上で実行されることになる。インターネットでは，任意のファイルを実行させるためのwszファイルと，そのファイルを読み込ませるためのHTMLファイルなどが公開されている。これらを使えば，「Winampユーザーに任意のプログラムを実行させるWebページ」が容易に作れてしまう。

　現時点では，パッチや修正版は公開されていない。Secuniaでは，すべてのパッチおよびサービスパックを適用したIE 6 ＋ Windows XP SP1の環境で，最新版Winamp 5.04が影響を受けることを確認している。特に有効な対策は存在しないため，Secuniaでは「別の製品を使うこと」を対策として挙げている。