您现在的位置: 贯通日本 >> 资讯 >> 新闻对照0409 >> 正文

Winamp发现危险漏洞!攻击代码已经出现

作者:未知  来源:日经BP   更新:2004-9-1 3:58:00  点击:  切换到繁體中文

 

丹麦安全公司Secunia当地时间825日宣布在语音、视频播放软件“Winamp”中存在安全漏洞(英文)。只要使用Internet ExplorerIE)浏览做过手脚的Web网页,就可能突破Winamp的安全漏洞运行任意程序,且目前已经出现了突破这一安全漏洞的代码(程序)。补丁与修正版尚未公开。Secunia提出的对策是使用其他产品,同时不要接近可疑的Web网页也非常重要,Winamp用户务必引起注意。

  关于此次的安全漏洞,在销售商与用户等还没有公开相关信息之前,就已经出现了突破这一安全漏洞的代码(程序)。这些代码证明了安全漏洞的存在,也就是“0-day exploit”。从安全公司美国PivX Solutions向该公司邮件列表注册用户发送的邮件来看,至少在722日就已经出现了突破该安全漏洞的代码。

  导致此次安全漏洞的原因,是Winamp没有仔细检查压缩的皮肤文件(可改变Winamp外观等的文件,扩展名为wsz)。如果读取了做过手脚的皮肤文件,就可以随意执行放置在Web站点等的任意程序,执行程序时不会出现警告对话框等。

  另外,还通过IE自动向Winamp发送wsz文件。也就是说,只要浏览做过手脚的Web网页,就会向Winamp发送wsz文件,并通过wsz文件在Windows机器上运行被指定的可执行文件(病毒与间谍软件等)。现在互联网上已经公开了可执行任意文件的wsz文件与可读取该文件的HTML文件等。如果使用这些文件,制作Winamp用户执行任意程序的Web网页非常容易。

  目前尚未公开补丁与修正版本。Secunia已经确认在安装了所有补丁与服务包的IE 6 Windows XP SP1环境下,最新版Winamp 5.04仍会受到影响。现在没有任何特别有效的对策,Secunia提出的对策是使用其他产品

デンマークSecuniaは現地時間825日,音声/動画再生ソフト「Winamp」にセキュリティ・ホールがあることを公表した。細工が施されたWebページをInternet ExplorerIE)で閲覧するだけで,Winampのセキュリティ・ホールを突かれて任意のプログラムを実行させられる。しかも,このセキュリティ・ホールを突くコード(プログラム)が既に出回っている。パッチや修正版は未公開。Secuniaでは,対策として「別の製品を使うこと」を挙げている。怪しいWebページに近寄らないことも重要だ。Winampユーザーは十分注意してほしい。  

 今回のセキュリティ・ホールについては,ベンダーやユーザーなどから情報が公表される前に,このセキュリティ・ホールを突くコード(プログラム)が出回った。コードによって,セキュリティ・ホールの存在が明らかとなったのである。つまり,“0-day exploit”である。セキュリティ・ベンダーである米PivX Solutionsが同社のメーリング・リスト登録者に送ったメールによると,少なくても722日の時点で,セキュリティ・ホールを突くコードが出回っていたという。

 今回のセキュリティ・ホールは,圧縮されたスキン・ファイル(Winampの外観などを変更するためのファイル。拡張子はwsz)をWinampがきちんとチェックしないことが原因。細工が施されたスキン・ファイルを読む込むと,Webサイトなどに置かれた任意のプログラムを勝手に実行させられる。このとき,警告ダイアログなどは表示されない。

 しかも,IEではwszファイルは自動的にWinampに渡される。つまり,細工が施されたWebページを閲覧するだけで,wszファイルがWinampに渡され,wszファイルで指定された実行形式ファイル(ウイルスやスパイウエアなど)がWindowsマシン上で実行されることになる。インターネットでは,任意のファイルを実行させるためのwszファイルと,そのファイルを読み込ませるためのHTMLファイルなどが公開されている。これらを使えば,「Winampユーザーに任意のプログラムを実行させるWebページ」が容易に作れてしまう。

 現時点では,パッチや修正版は公開されていない。Secuniaでは,すべてのパッチおよびサービスパックを適用したIE 6 Windows XP SP1の環境で,最新版Winamp 5.04が影響を受けることを確認している。特に有効な対策は存在しないため,Secuniaでは「別の製品を使うこと」を対策として挙げている。

 


 

新闻录入:贯通日本语    责任编辑:贯通日本语 

  • 上一篇新闻:

  • 下一篇新闻:
  •  
     
     
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     

    注册高达赢取大奖!

    09年2月《贯通日本语》杂志

    松岛菜菜子裙装造型 “美到令人

    荣仓奈奈被曝怀孕 预计今年初夏

    日媒:美国任用哈格蒂担任驻日

    日本选出最想成为首相的女大学

    广告

    广告