"Extrêmement critique". Le spécialiste de la sécurité informatique Secunia vient d'assigner le niveau de risque le plus élevé à la faille découverte par le français K-OTik sur Winamp. La seule solution proposée par Secunia : utiliser un autre produit.

K-OTik Security révélait hier la présence d'une faillle dans le système de skins utilisé par Winamp. Déjà largement exploitée par les concepteurs de spywares et répandue à travers les réseaux IRC, la faille permetterait de lancer n'importe quel programme à l'insu de l'utilisateur.
...

en savoir plus: ratiatum.com

ca peut etre embétant...

Ca ne pose de problème qu'avec des skins douteuses, les paranos peuvent toujours se cantonner à celle par défaut ou d'autres officielles de Nullsoft...

Hmmm, je pense qu'il suffit d'un lien malveillant et bam...! Le lien n'est peut-être pas forcément en rapport avec une skin...

Elle touche l'ensemble des versions 3.x et 5.x de Winamp

et donc tous ceux qui comme moi en sont resté à la version 2.x s'en fichent complètement ....

ikki a écrit:Hmmm, je pense qu'il suffit d'un lien malveillant et bam...! Le lien n'est peut-être pas forcément en rapport avec une skin...

Sorry collègue, mais...

L'exploitation se fait via une page html pointant vers un fichier skin malicieux qui, une fois téléchargé (automatiquement), exécutera plusieurs fichiers XML/HTML provoquant à leur tour l'exécution de la charge malveillante.

D'après moi, et à moins que je sois long à la détente, ça passe obligatoirement par l'installation d'un .wsz., les éventuels programmes malicieux se trouvant potentiellement à l'intérieur de l'archive.
Solution: ne pas télécharger de skin jusqu'à une correction prochaîne de Winamp.

Winamp 5.05

Changelog v. 5.05 :


* Problème de sécurité des skins résolu

* Problème de vidéos inversées DirectShow résolu

* JTFE v0.96c

* Ajout dialogue lors du premier chargement d'une skin