yamaha68
Spiel mir das Lied vom Exploit: VirtualDJ führt Code in MP3s aus.
Die Entwickler der DJ-Software VirtualDJ haben mit dem Update auf Version 7.4 einen Bug bei der Auswertung von ID3-Tags behoben, der sich im Nachgang als kritische Sicherheitslücke entpuppte. Entgegen der Angaben im Changelog, wonach missgebildete ID3-Tags lediglich potenziell zum Absturz führen können, eignet sich der Bug nämlich sogar zum Einschleusen von Schadcode.
Es kursiert bereits ein Exploit, der den Buffer Overflow beim Verarbeiten des ID3-Tags unter Windows ausnutzt. Konkret kommt es bei der Auswertung des Songtitels ("Title") zu dem Overflow. Das Abspielen einer verseuchten MP3-Datei mit VirtualDJ führt zur Infektion des Rechners. Hat man das DJ-Programm installiert, sollte man umgehend auf die aktuelle Version umsatteln – insbesondere dann, wenn man mit MP3s aus nicht vertrauenswürdigen Quellen hantiert. Das Update behebt darüber hinaus zahlreiche weitere Bugs.
Quelle:
http://www.heise.de/newsticker/meldung/Spiel-mir-das-Lied-vom-Exploit-VirtualDJ-fuehrt-Code-in-MP3s-aus-1837912.html
Die Entwickler der DJ-Software VirtualDJ haben mit dem Update auf Version 7.4 einen Bug bei der Auswertung von ID3-Tags behoben, der sich im Nachgang als kritische Sicherheitslücke entpuppte. Entgegen der Angaben im Changelog, wonach missgebildete ID3-Tags lediglich potenziell zum Absturz führen können, eignet sich der Bug nämlich sogar zum Einschleusen von Schadcode.
Es kursiert bereits ein Exploit, der den Buffer Overflow beim Verarbeiten des ID3-Tags unter Windows ausnutzt. Konkret kommt es bei der Auswertung des Songtitels ("Title") zu dem Overflow. Das Abspielen einer verseuchten MP3-Datei mit VirtualDJ führt zur Infektion des Rechners. Hat man das DJ-Programm installiert, sollte man umgehend auf die aktuelle Version umsatteln – insbesondere dann, wenn man mit MP3s aus nicht vertrauenswürdigen Quellen hantiert. Das Update behebt darüber hinaus zahlreiche weitere Bugs.
Quelle:
http://www.heise.de/newsticker/meldung/Spiel-mir-das-Lied-vom-Exploit-VirtualDJ-fuehrt-Code-in-MP3s-aus-1837912.html
Posted Tue 09 Apr 13 @ 1:20 pm