Bīstama Winamp .wsz ievainojamība

WinAmpSecunia lapā ir nopublicēta informācija par bīstamu Winamp skinu failu (.wsz) ievainojamību, kas šobrīd aktīvi izplatās interneta plašumos.

The problem is caused due to insufficient restrictions on Winamp skin zip files (.wsz). This can e.g. be exploited by a malicious website using a specially crafted Winamp skin to place and execute arbitrary programs. With Internet Explorer this can be done without user interaction.

Visvairāk apdraudētie esot Internet Explorer lietotāji, kas lieto Winamp, jo šis pārlūks ir pārāk “izpalīdzīgs” un rauj vaļā jebkuru failu bez lietotāja ziņas. Winamp izstrādātāji solās drīzumā izlaist salāpīto versiju, kas pagaidām tiek aktīvi testēta.

Eksploitu var atrast k-otik.com lapā. Bet aprakstu par to kā mēģināt izsargāties no šī cauruma var atrast Winamp forumā. Te ir izrāvums par to kā Internet Explorer lietotāji var nokonfigurēt savu sistēmu, lai šie faili automātiski nepalaistos. Ja gadījumā kāds Firefox lietotājs ir nokonfigurējis, lai .wsz failus automātiski pēc to lejupielādes palaiž ar Winamp, tad arī viņiem būs pieejama pamācība.

The best thing you could do right now is:
WinME/2k/XP > Windows Folder Options > File Types tab > WSZ > Advanced:
Checkmark: “Confirm open after download”

Repeat for WAL

(Note: Under Win9x, it’s ‘Edit’ instead of ‘Advanced’)
This will now make Internet Explorer ask if you want to open or save the WAL or WSZ file.
Naturally, if you clicked on a link to a jpg or php (or any other extension other than wal or wsz) then you’ve probably come across the exploit (so it’d probably be wise to click ‘Cancel’).

For other browsers, you’ll need to go into the browser config and change the setting accordingly, eg. for Firefox:

Tools > Options > Downloads tab:
WSZ / WAL > Change Action:
Checkmark: “Save to Disk” (instead of Open…)

Firefox will now prompt you instead of automatically downloading & executing skin files.

Viens no populārākajiem veidiem kā inficēties ir caur IRC kanāliem, kur cilvēki dod dažādas norādes. Visievainojamākais šajā gadījumā ir populārākais Windows klients mIRC, kam ir ļoti labs skriptu atbalsts, ko arī izmanto dažādu trojānu autori. Ja kādam šķiet, ka viņa mIRC ir inficēts, tad te būs atrodama pamācība par to kā pārbaudīt to.

25 komentāri par “Bīstama Winamp .wsz ievainojamība

  1. Liakam jau Lohs!

    Wu,vai te kaads var pateikt! Vai ja es patstaaviigi lietoju Operu,bet Explorers man vienkaarsi ir uz cietaa,bet es nelietoju,tad man ir iespeeja dabuut kaadu suudu caur to caurumu?
    Luudzu atbildiet!

    Atbildēt
  2. Kirils

    kaut kaads ihack.lv vai kaut kas taads aatraak shito nopubliceeja. tur bij raxtiits, ka tikai v 3&5 affected. ja taisniiba, tad es kulju salmus ar home-pached v2

    Atbildēt
  3. mC

    opāā 😀 jums pretenzijas pret mIRC? var jau iet no neta http://chat.118.lv un tur jau bez mIRC arī ir mIRC 😀 kaut kā neloģiski sanāca
    Atkal gribu apsveikt CLX ar superīgo fīču (Translita Kovertors) dēļ kuras izskatos daudz kulturālāks 😀

    Atbildēt
  4. Nesavaldzinaamais

    Vispār jau mIRC’am ir pietiekami daudz labu bezmaksas alternatīvu – nu piem., HydraIRC vai BersIRC, tā ka nav jāstreso…

    Atbildēt
  5. karuuzo

    Nu jā, CLX ieved skaidrību tiem, kas neklejo apkārt pa INetu, bet smeļas info no tavas lapas, vai inficējas WinAmp vai arī tas skins inficē mIRC caur WinAmp?!!!
    m

    Atbildēt
  6. coolynx

    Citējot šo http://winampunlimited.com/index.php?id=43

    Currently, the only reported malicious use of this exploit is on IRC. The following describes the user infection process of the worm:
    1. User clicks on a link.
    2. The linked image is not actually an image. Instead, it’s purpose is to run a script which opens up a URL.
    3. The PHP file at the URL loads a WSZ or WAL file (Winamp Skin Zip files). An executable is included in the zip file, as are Winamp’s skin-xml files and an HTM which work together to run the executable.
    4. The WSZ is downloaded and automatically installed, launching the executable. Your Winamp skin is changed. Spyware is installed on the user’s system.
    5. If you are using MIRC, the worm will run a script which sends the link to other people.

    Atbildēt
  7. Ati

    Hmm..Internet Exploerer inficē winamp, winamp inficē mirc un tad beigās vīruss ir mirc un lai tiktu vaļa no vīrusa ir jāiet uz norādīto CLX saitu un jāseko norādījumiem? 🙂

    Atbildēt
  8. coolynx

    Papildināju rakstu ar nelielu paskaidrojošo daļu par populārāko trojānu izplatīšanās veidu, kas vakar šķita pašsaprotama lieta, bet jau no rīta tā vairs neliekas. 😉

    Atbildēt
  9. daskilla

    foobar 2000 + firefox = laikam jau lietoju gadu pareizās progaz.
    mIRC – nesaskatu nekādas problēmas ja normālu skriptu lieto.
    xchat – pamēģināju – labs mIRC aizvietotājs, bet trūkst tādas labas lietas kā spēcīga blacklist.

    Atbildēt
  10. Splash

    Nevienam neiesaku sho suudu ka4aat! Wislabaakais ir winamp 2.95
    Iedomaajaties tikai 5.05 bremzee man internetu gandriiz 2 reizes! Laigan man dators ir 512 Ram un 2,4 Mhz! Paliekat pie manas ieteiktaas versijas un viss buus OK!

    Atbildēt
  11. Agre[SS]or

    Splash
    strunc cik tev tas tavs dzelzis ir jaudīgs ja tu esi viņu vienkārši *piekakājis* pilnu ar drankībām kas nafig vaidzīgas tad nebrīnies ka tev dzelzis bremzē….

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.