Internet Watch logo
記事検索
最新ニュース

「Winamp」のスキンファイルに任意のコードが実行される脆弱性


 デンマークのセキュリティベンダーであるSecuniaは、メディアプレイヤー「Winamp」に任意のコードが実行される脆弱性があると発表した。WinAMP 3.x/Winamp 5.xが対象。危険度は最も高い“Extremely critical”となっている。

 Winampは、米Nullsoftが開発したWindows向けメディアプレイヤーで、スキンファイルを用いて外観を自由に設定できる。今回の脆弱性は、スキンファイル用データをZIP形式で圧縮したWSZファイルに存在し、任意のコードを実行することが可能だ。例えば、WSZファイルを偽装したZIPファイルに、HTMLファイルを参照してコマンドを実行するXMLドキュメントを挿入できるという。

 初期設定では、WSZファイルとWinampが関連付けされており、不審なスキンファイルを誤ってインストールしてしまう可能性があるため、注意が必要だ。現在のところ、この脆弱性を修正したバージョンは発表されていない。回避方法としては、WSZファイルと関連付けを削除する方法もあるが、Secuniaでは他の製品を使用することを推奨している。


関連情報

URL
  脆弱性情報(英文)
  http://secunia.com/advisories/12381/
  WINAMP.COM(英文)
  http://www.winamp.com/
  関連記事:Winampでスキンを適用時に任意のコードが実行される脆弱性とその対策[窓の杜]
  http://www.forest.impress.co.jp/article/2004/08/26/winampskinbug.html
  関連記事:米Nullsoft、「Winamp 5.0」無料版ダウンロード開始
  http://internet.watch.impress.co.jp/cda/news/2003/12/17/1532.html


( 鷹木 創 )
2004/08/27 14:19

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.