Erste MP3-Viren dank Winamp-Bug
Eine Sicherheitslücke in der beliebten Player-Software Winamp könnte es Angreifern möglich machen, in einer MP3-Datei einen Computervirus zu verstecken und diesen unter Winamp auf einem fremden Rechner auszuführen.
Nullsoft, die Macher von Winamp, haben die Sicherheitslücke bestätigt.
Betroffen ist die Version 2.79. In der aktuellen Version 2.80 ist die Schwachstelle bereits beseitigt. Nutzer der Winamp-Software sollten umgehend ein Update auf die neueste Version durchführen oder den fehlerhaften Minibrowser in 2.79 deaktivieren.
Winamp 2.80
Winamp 2.80 steht in drei Versionen zum Download bereit: Die
umfangreichste umfasst 1,91 MB und enthält alle verfügbaren
Winamp-Funktionen. Die abgespeckte Standardversion ist 1,24 MB, die
Lite-Version 530 KB groß. Standard- und Lite-Version sind im
Funktionsumfang eingeschränkt.
Download WinampWinamp 2.80 spielt ".ogg"-Files
Mit der Version 2.80 von Winamp spielt der Audio-Player nun auch Musikdateien im Format Ogg Vorbis [.ogg] ab.
Zudem wurden die Kompatibilität bei der DirectSound-Ausgabe von Windows 9x überarbeitet und einige Fehler in der Bedienoberfläche des CDDB-Teils in Winamp bereinigt.
Ogg Vorbis ist ein dem MP3-Verfahren vergleichbares Komprimierungsformat für Musikdateien, allerdings nach dem Open-Source-Modell.
Freies MP3-Musikformat
Ogg Vorbis bietet eine qualitativ hochwertige Kompression von
Audiodaten mit 44,1 bis 48 kHz in 16 Bit bei festen und variablen
Bitraten von 16 bis 128 Kilobit pro Sekunde je Kanal.
Ogg VorbisDetails zum Winamp-Bug
Die jetzt entdeckte Schwachstelle im Winamp-Player ist vor allem deswegen gefährlich, da MP3-Dateien bisher als sicher angesehen wurden und Hunderttausende User damit über Dienste wie KaZaA und Morpheus regen Tauschhandel betreiben.
Der Bug im Code von Winamp 2.79 führt dazu, dass das Ausführen einen Buffer-Overflow verursacht und so einen in der MP3-Datei versteckten Virus startet.
Andreas Sandblad, ein schwedischer Student, hat die gefährliche Schwachstelle entdeckt und auf der BugTraq-Security-Mailinglist gepostet.
Eingebettet in ID3v2-Tag
Der Code kann im ID3v2-Tag eingebettet sein. Dieser enthält
Informationen zu einem MP3-Song [z.B. Name des Albums, Jahr,
Musikrichtung]. Spielt Winamp die Datei ab, versucht es über seinen
integrierten Minibrowser die Infos über das abgespielte Lied von der
Winamp-Seite zu übertragen, dadurch kommt es zum Buffer-Overflow.
Das Posting von SandbladBegrenzte Reichweite
Der Virus kann daraufhin andere MP3-Dateien auf dem Rechner oder auf angeschlossenen Netzlaufwerken infizieren.
Die Reichweite des Problems ist aber laut Graham Cluley von Sophos Antivirus begrenzt.
"Viele Anwendungen haben Schwachstellen, die zu Angriffen führen können, aber die meisten Schreiber von Viren sind nicht so clever - die können nur VBS-Dateien verbreiten und diesen einen sexy Namen verpassen", sagt Cluley.
Außerdem würde der Virus nur Winamp-Nutzer betreffen - eine kleine Anzahl, verglichen mit den betroffenen Usern bei, zum Beispiel, Microsoft-Outlook-Viren.