Zwei kritische Sicherheitslücken können beim Verarbeiten von Musik-Datenströmen in Winamp auftreten, warnt der Sicherheitsdienstleister Secunia. Angreifer können mit manipulierten Datenströmen Schadcode einschleusen, etwa einen Trojaner. Eine aktualisierte Winamp-Version behebt die Schwachstellen.
Die Lücken finden sich in der Bibliothek in_mp3.dll. Aufgrund von fehlerhaften Längenprüfungen beim Verarbeiten von Metadaten in Datenströmen, die mit AOLs Ultravox-Protokoll versendet werden, können Puffer in der Software überlaufen und dabei eingeschleuster Code zur Ausführung kommen. Überlange Werte in den Feldern <artist> und <name> provozieren die Fehler. AOL setzt das Ultravox-Protokoll etwa für die Internetradiostationen bei Radio@AOL ein.
Quelle: http://www.heise.de/newsticker/meldung/102034
Es wird empfohlen, ein Update auf die aktuelle Winamp-Version 5.52 zu machen.