CERTA-2002-AVI-283
Vulnerability from certfr_avis - Published: 2002-12-27 - Updated: 2002-12-27
Plusieurs débordements de mémoire permettant l'exécution de code arbitraire à distance sont présents dans différentes versions de Winamp.
Description
Le logiciel Winamp permet de lire des fichiers au format MP3.
Une mauvaise gestion des balises (tag) « ID3v2 artist » par le logiciel Winamp permet d'exécuter du code arbitraire au moyen d'un fichier MP3 habilement construit.
Ces vulnérabilités sont exploitables à distance.
Solution
-
Pour les utilisateurs de Winamp 2.81 :
Mettre à jour Winamp dans sa dernière version depuis le site web de Winamp :
http://classic.winamp.com/download -
Mettre à jour Winamp dans sa dernière version 3.0 build #488 depuis le site web de Winamp :
http://www.winamp.com/downloadPour vérifier la version de Winamp 3.0 utiliser le menu « A Propos » (ou « about » ).
Winamp 2.81 et 3.0 (si leur téléchargement a été réalisé avant le 17 décembre 2002).
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eWinamp 2.81 et 3.0 (si leur t\u00e9l\u00e9chargement a \u00e9t\u00e9 r\u00e9alis\u00e9 avant le 17 d\u00e9cembre 2002).\u003c/P\u003e",
"content": "## Description\n\nLe logiciel Winamp permet de lire des fichiers au format MP3.\n\nUne mauvaise gestion des balises (tag) \u00ab ID3v2 artist \u00bb par le logiciel\nWinamp permet d\u0027ex\u00e9cuter du code arbitraire au moyen d\u0027un fichier MP3\nhabilement construit.\n\nCes vuln\u00e9rabilit\u00e9s sont exploitables \u00e0 distance.\n\n## Solution\n\n- Pour les utilisateurs de Winamp 2.81 :\n\n Mettre \u00e0 jour Winamp dans sa derni\u00e8re version depuis le site web de\n Winamp :\n\n http://classic.winamp.com/download\n\n- Mettre \u00e0 jour Winamp dans sa derni\u00e8re version 3.0 build \\#488 depuis\n le site web de Winamp :\n\n http://www.winamp.com/download\n\n Pour v\u00e9rifier la version de Winamp 3.0 utiliser le menu \u00ab A Propos \u00bb\n (ou \u00ab about \u00bb ).\n",
"cves": [],
"initial_release_date": "2002-12-27T00:00:00",
"last_revision_date": "2002-12-27T00:00:00",
"links": [
{
"title": "Le bulletin d\u0027information #9680 de Winamp :",
"url": "http://www.winamp.com/news.jhtml?articleid=9680"
}
],
"reference": "CERTA-2002-AVI-283",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-12-27T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Plusieurs d\u00e9bordements de m\u00e9moire permettant l\u0027ex\u00e9cution de code\narbitraire \u00e0 distance sont pr\u00e9sents dans diff\u00e9rentes versions de Winamp.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Winamp",
"vendor_advisories": [
{
"published_at": null,
"title": "bulletin d\u0027information de Winamp",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.