Winamp Décrié

Faille critique dans Winamp, lecteur mp3

Elle permetterait de lancer n'importe quel programme à l'insu de l'utilisateur
 
Le très célèbre lecteur de mp3 Winamp de NullSoft/AOL est victime d'une faille qualifiée d'extrêmement critique. Découverte par Silent et relayée par le site de Secunia, la vulnérabilité permettrait à un pirate de lancer n'importe quel programme à l'insu de l'utilisateur.

La faille se situe dans le système de skins utilisé par Winamp. Le problème serait dû à des restrictions insuffisantes sur les fichiers compressés des skins de Winamp (.wsz), et plus particulièrement à un manque de sécurité dans l'architecture XML employée, ce qui permet d'exécuter un programme inséré dans la 'skin'.

"La faille peut être exploitée par un site web malveillant qui utiliserait une 'skin' Winamp conçue spécialement pour placer et exécuter des programmes arbitraires", explique Secunia, avant d'ajouter que "la vulnérabilité peut être exploitée sans interaction avec l'utilisateur dans un environnement Internet Explorer".

Selon ces spécialistes, la faille est déjà largement exploitée par les concepteurs de modules espions ou spywares' et répandue à travers les réseaux IRC pour introduire ces modules ou autres virus/vers sur certains ordinateurs.

L'ensemble des versions 3.x et 5.x de Winamp sont concernées. Il n'y a pas encore de 'patch'. Secunia conseille d'utiliser un autre produit.

la source -> www.silicon.fr

 

Je trouve cet acharnement sur winamp un peu fort ...

Ils vont nous sortir un patch les lamas

Je trouve cet acharnement sur winamp un peu fort ...

[snapback]89890[/snapback]

il fallait que cela arrive à un moment ou un autre , il y a une concurence féroce   entre lecteur multimédias

Ils n'ont pas trainé :

http://www.winamp.com/player/

Une nouvelle version sans la faille est disponible

Pas de futur pour Winamp?

Comme on vous en parlait depuis 3 mois, ça va mal pour Winamp qui, on le rappelle est la propriété d'AOL.
Départ des créateurs du soft et depuis une semaine c'est le dernier developpeur qui vient de démissionner.
On vous le disait à la sortie de la 5.05 "elle risque de durer longtemps".

Nous on est indépendant, donc on continue.

Les developpeurs indépendants vont continuer à developper plugins et libraries pour ne pas que Winamp se fasse "larguer" techniquement.
Cela dit Winamp est quand même excellent et peu de gens se servent de toutes les fonctionnalités

A ce jour plus aucune amélioration réelle de Winamp est prévue, cela dépend d'AOL (voie de garage pour Winamp ou relance d'une autre équipe de developpeurs).
 
suite et source -> www.winampfr.com

C'est dommage si ce logiciel reste sur une voie de garage car personnellement je le trouve très bien !

Perso je n'utilise plus Winamp depuis lgtemps

mon player est QCD (Quintessential player)    

j'ai winamp 2.95 donc je ne suis pa concerné me semble t il

Faille critique dans Winamp

Le célèbre lecteur audio est une nouvelle fois victime d'une vulnérabilité

 Ce n'est pas la première fois que le très populaire lecteur audio Winamp présente une faille. La dernière en date, découverte par Brett Moore et qualifiée de hautement critique par Secunia, permet à un pirate de compromettre un système à distance.

La faille est due à un problème situé dans le fichier "IN_CDDA.dll". En exploitant cette erreur, il est possible de causer un dépassement de la mémoire tampon (buffer overflow). Il suffit de piéger un utilisateur en lui faisant visiter un site malicieux contenant une playlist (.m3u) vulnérable.

La faille a été identifiée sur la version 5.05 de Winamp mais Secunia précise que les versions antérieures peuvent être vulnérables. La solution consiste à migrer immédiatement vers la version 5.06 du logiciel.
 
la source -> www.silicon.fr

on dira que c'est une faille conventionnelle  <_<
car cela arrive de plus souvent quand une nouvelle version d'un logicel populaire mais encore plus quand il est commercial, l'alerte de failles sur les anciennes moutures de ce logiciel (la liste des éditeurs de logiciels qui pratique cette façon de faire est longue , même firefox en a fait demême   )

là çà se complique

Attention aux playlists sous Winamp
posté par Guillaume Champeau
source : Secunia

Averti par Security-Assessment, le spécialiste de la veille de sécurité Secunia a lancé une nouvelle alerte de niveau critique sur le logiciel Winamp.

Causée par le fichier IN_CDDA.dll, la vulnérabilité découverte sur Winamp 5 peut être exploitée pour générer un buffer overflow à partir de fichiers de playlists modifiés.

"Une exploitation réussie (de la faille) permet l'exécution d'un code arbitraire", prévient Secunia, qui précise que la faille affecte les versions 5.05 et 5.06 de Winamp, mais peut-être également des versions antérieures.

La solution préconisée : retirer l'association des extensions .cda et .m3u avec Winamp.

En août dernier, une faille similaire avait été découverte dans la gestion des skins de Winamp, et Secunia avait alors conseiller de façon radicale de choisir un autre lecteur multimédia que le logiciel de Nullsoft.

la source -> www.ratiatum.com

Winamp 5.12 : support de la TNT

Une nouvelle version de Winamp vient de sortir et, grande nouveauté, il sera désormais possible de lire quelques chaînes TNT avec ce lecteur.

suite et source -> http://www.generation-nt.com/actualites/10707/winamp-tnt

 

Une faille critique frappe Winamp

Le célèbre lecteur de fichiers multimédia se voit affecté par une nouvelle vulnérabilité critique. L’exploitation de la faille, à travers un fichier « .pls » piégé, pourrait permettre l'exécution de code arbitraire. À cette heure, aucun correctif n’est disponible.

suite et source -> http://www.vulnerabilite.com/actu/20060130130532faille_winamp_playlist.html

 

JavaAmp http://sourceforge.net/projects/javaamp/



JavaAmp est un clone du lecteur multimédia bien connu Winamp écrit en Java.  Il emploie la bibliothèque légère de jeu de Java (LWJGL) et FMOD pour jouer la musique et la visualiser.

bon il est loin d'être l'égale à son ainé mais c'est le seule projet multi platteforme pour winamp