Problem:
Winamp reagiert im dem Fall, dass es eine derartige Auto-Update-Anfrage durchführt und eine große Menge falscher Daten erhält, äußerst empfindlich. Es kommt zum Überlauf und eventuell zu einem Windows-Ausnahmezustand. Ein Angriff per Remote lässt sich wie folgt provozieren:
1. Umlenken der Anfrage des Opfers von Winamp.com auf den Rechner des Angreifers (DNS-Spoofing).
2. Der Angreifer feuert Update-Muster für Winamp in großer Menge kontinuierlich über seinen Server ab.
3. Das ahnungslose Opfer öffnet Winamp und aktiviert das falsches Update automatisch! Bei entsprechender Vorbereitung der Daten können von Abstürzen über Pufferüberlauf und Platzieren von Hintertür-Programmen alle Angriffsmöglichkeiten realisiert werden.
Workaround: Für alle Programme muss geprüft werden, ob so etwas wie "Suchen nach einer neuen Version" aktiviert ist. Diese Option muss deaktiviert werden. Stattdessen sollten gezielte Updates zu kontrollierten Zeitpunkten durchgeführt werden. Für den speziellen Fall von Winamp ist unter der Linkadresse unten ein Patch zu finden, der die IP Adresse 205.188.245.120 anstelle von winamp.com im Programm codiert. Das schützt allerdings nicht vor ARP-Spoofing in lokalen Netzen.
Navigation
Winamp Auto-Update-Falle
Linear-Darstellung
