Vulnérabilités critiques dans Winamp (13/10/07)

[horus agressor]

Bonjour !

Vulnérabilités critiques dans Winamp (13/10/07)

 

LOGICIEL(S) CONCERNE(S) :

Nullsoft Winamp 5.35 et versions inférieures

 

RESUME :

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le lecteur multimédia Winamp. L'exploitation d'erreurs dans le codec audio FLAC peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'ouverture d'un fichier musical piégé.

http://www.secuser.com/vulnerabilite/2007/071013_winamp.htm

Site de l'éditeur : http://www.winamp.com/player

 

 

/!\ ATTENTION : durant l'installation de la nouvelle version de Winamp, la 5.5, il vous sera proposé la Toolbar Winamp (# Control Winamp From Your Browser with the Winamp Toolbar http://www.winamp.com/player ) et 2 autres gadgets du même genre, soyez très vigilant et veillez à ne pas installer ces gadgets, à moins que vous ne souhaitiez que votre Internet Explorer ne s'orne de cette toolbar. De plus, en installant ces 3 gadgets, Winamp deviendra très lourd /!\

 

Pour contrôler Winamp, et quantité d'autres player depuis Firefox, il y l'extension Foxy Tunes, bien mieux, plus léger et moins intrusif qu'une toolbar : http://www.foxytunes.com/

 

 

avec pas mal de skin disponible : http://www.foxytunes.com/firefox/skins/

 

Je suis sortit du sujet là il me semble Sacré Horus

 

Pour info à propos des dangers que peuvent représenter les toolbar : Barres d'outils - Toolbar http://assiste.com.free.fr/p/abc/a/barres_...ls_toolbar.html

 

Amicalement.

Modifié le 13 octobre 2007 par horus agressor

[horus agressor]

Bonjour !

 

Download Winamp Media Player 5.51

 

http://www.winamp.com/player

 

Changelog, bonne lecture

* New: Autoplay Handlers for Audio, MP3 and Video CD's on WinXP & Vista * New: Default Programs registration for installations on Windows Vista * New: Optional Constant-Q Equalizer and optional ISO Standard frequency bands * New: [in_flv] Flash Video decoder (vp6 only, not h.263) * Improved: Browser download manager now uses CD Ripping destination folder * Improved: Deletion of embedded album art via Artwork tab in File Info * Improved: More accurately translated Language Packs * Improved: More miscellaneous UI/dialog tweaks & improvements * Improved: Option to set the number of pixels to scroll for modern songticker * Improved: [Gracenote/MusicID] Better error checking & memory cache optimizations * Improved: [gen_ff] More miscellaneous freeform skinning engine optimizations * Improved: [gen_hotkeys] Added optional WM_APPCOMMAND support for media keys * Improved: [gen_hotkeys] Added increase + decrease rating on current track * Improved: [in_dshow] Reading of length and bitrate for non-default video formats * Improved: [in_flac] Optimized disk caching for increased performance * Improved: [in_mp3] Better optimization for older Pentium Pro/2/3 cpu's * Improved: [in_mp3] Support for reading ALBUM ARTIST field if TPE2 not present * Improved: [in_mp4] Better Unicode support and metadata read optimizations * Improved: [in_mp4] Optimized disk caching/reading * Improved: [in_vorbis] Support for reading YEAR field if DATE not present * Improved: [ml_disc/in_cdda] Disc reading tweaks and other general optimizations * Improved: [ml_history] New tracking control options * Improved: [ml_local] Added column for BPM * Improved: [ml_local] Album column sorting order logic * Improved: [ml_local] Better playlist handling * Improved: [ml_local] Bumped track# metadata guessing limit from 130 to 999 * Improved: [ml_local] Database query and memory optimizations * Improved: [ml_pmp] Support for drag&drop from Explorer into portable device view * Improved: [ml_transcode] Prompt to delete aborted transcodes * Fixed: Artwork not found if .nfo filename contains a period * Fixed: ASX Parser converting all stream links in .asx playlists to upper case * Fixed: Classic songticker wraparound glitchiness * Fixed: Dragging/scrolling of songticker text after resize * Fixed: Global Hotkeys list destroyed when changing language packs * Fixed: Gracenote CDDB Editor genre selection glitches * Fixed: Gracenote/MusicID not using Winamp's proxy setting * Fixed: Parsing of ansi ASX playlists containing non-standard characters * Fixed: Restore from System Tray if previously closed in a minimized state * Fixed: Setup resetting desktop icons * Fixed: Spectrum vis incompatibility crash with some 3rd-party input plugins * Fixed: Truetype replacement font alignment in Winamp Modern winshade songticker * Fixed: Various miscellaneous keyboard shortcut issues * Fixed: Winamp Agent registry entry typo (wianmpa.exe) * Fixed: [bento] Collapse/Expand Playlist not respecting 'Show Album Art' setting * Fixed: [gen_ff] Potential high CPU usage of songticker object * Fixed: [gen_ff] TrueType replacement font change not updating in real-time * Fixed: [gen_hotkeys] Restore from minimized state whilst About dialog is open * Fixed: [gen_ml] Blank ML when restarting Winamp from a minimized state * Fixed: [gen_ml] Cancelling Online Media password prompt clears password & filters * Fixed: [in_dshow] Miscalculation of some mpeg video lengths * Fixed: [in_flac] Divide-by-zero crash on corrupt files * Fixed: [in_mp3] Deleting Lyrics3 tag in Alt+3 Editor also deletes ID3v1 tag * Fixed: [in_mp3] Handling of ID3v2 with bad version/revision #'s * Fixed: [in_mp3] ID3v2 parsing crash with some mp3's * Fixed: [in_mp3] ID3v2 tag not showing when ID3v1 tag reading is disabled in config * Fixed: [in_mp3] MPEG Info not showing in Alt+3 for files with large ID3v2 tags * Fixed: [in_mp3] Now only reads first ID3v2 tag if more than one is present * Fixed: [in_mp3] Winamp UI freezes when loading certain corrupt mp3's * Fixed: [in_mp4] Playback of mp3 in mp4 container * Fixed: [in_mp4] Seeking when paused * Fixed: [in_mp4/jpeg.w5s] Crash when Art field is in metadata with no embedded art * Fixed: [in_vorbis] UTF8->UTF16 optimized (fixes File Info delay bug) * Fixed: [libmp4v2] Corrupt m4a's not playing, better handling of ones beyond repair * Fixed: [ml_autotag] Crash when track isn't part of a disc, eg. internet-only releases * Fixed: [ml_autotag] Stops processing when switching to another ml view * Fixed: [ml_disc] CD view/titles not refreshing when ejecting old/inserting new CD * Fixed: [ml_disc] Crash when using invalid strings in playlist filename generation * Fixed: [ml_disc] No Burn button under some system configurations * Fixed: [ml_disc/ml_pmp/ml_transcode] Processing of # in Destination Folder path * Fixed: [ml_local] Artist column in descending order when sorting by Year * Fixed: [ml_local] Down key in Search field not focusing the Simple View list * Fixed: [ml_local] Last Updated, Album Gain & Podcast column sorting orders * Fixed: [ml_local] Two filters always checkmarked in Edit View for Simple views * Fixed: [ml_playlists] Shift+Enter hotkey to Enqueue playlist * Fixed: [ml_plg] Crash when stopping Playlist Generator scan or resetting database * Fixed: [ml_pmp] Column sorting orders * Fixed: [ml_rg] Restore from minimized state whilst rg results dialog is open * Fixed: [ml_transcode] Restore from minimized state whilst config dialog is open * Fixed: [ml_wire] Podcasts not being downloaded if <title> includes carriage returns * Fixed: [ml_wire] Lockup when encountering scripts in <description> field * Fixed: [out_disk] Output folder always resetting to My Documents\My Music * Fixed: [pmp_ipod] 'Add album art' option always checkmarked * Fixed: [tataki] Potential crash when encountering an invalid/superficial error * Fixed: [vis_milk2] Crash when exiting fullscreen back to attached Modern skin window * Misc: Alt+3 Auto-Tag now saves Gracenote FileId and ExtData fields * Misc: Double-click Stereo indicator to open Playback prefs (Bento & Modern skins) * Misc: Installation is now prevented on Win9x * Misc: Made Milkdrop2 the default vis plugin * Misc: Split the Playback prefs into 3 tabs: Playback, Equalizer & Replay Gain * Misc: Various installer setup & localization translation tweaks * Misc: Various Bento skin fixes, tweaks and improvements * Misc: Various Winamp Modern skin 5.5-related updates * Misc: [ml_local] Removed deprecated 'Show album gain values' option in Prefs * Updated: Bento skin #117 * Updated: Gracenote MusicID/CDDB v2.5.1 * Updated: libpng 1.2.22 * Updated: [vis_milk2] MilkDrop 2.0c

http://www.winamp.com/player/version-history

Amicalement.

[michte]

Salut horus agressor,

 

Compromission de système vulnérable lors de la lecture d'un flux mp3 en mode streaming par le biais de Winamp 5.x.

Les vulnérabilités ont été confirmées pour les versions 5.21, 5.5 et 5.51. D'autres versions peuvent être affectées.

 

Le fournisseur propose la mise à jour 5.52 pour corriger ces vulnérabilités.

 

Zataz.com

 

A+

[Falkra]

A cette heure, le site officiel propose encore la 5.51 en téléchargement quand on clique, mais la page d'accueil titre 5.52 :

http://www.winamp.com/player

 

Affaire d'heures sans doute, mais à vérifier.

 

Liens officiels 5.52.

 

Français :

 

Full : http://download.nullsoft.com/winamp/client...7plus_fr-fr.exe

Bundle : http://download.nullsoft.com/winamp/client...7plus_fr-fr.exe

Lite : http://download.nullsoft.com/winamp/client..._lite_fr-fr.exe

Pro (payante) : http://download.nullsoft.com/winamp/client...2_pro_fr-fr.exe

 

Anglais :

 

Full : http://download.nullsoft.com/winamp/client...c-7plus_all.exe

Bundle : http://download.nullsoft.com/winamp/client...c-7plus_all.exe

Lite : http://download.nullsoft.com/winamp/client...52_lite_all.exe

Pro (payante) : http://download.nullsoft.com/winamp/client...552_pro_all.exe

Modifié le 19 janvier 2008 par Falkra

[cyrilcvcf]

Salut,

 

Téléchargé ce matin même très tôt, version obtenue 5.52 sur le site officiel.

 

Bon week-end.

 

Amicalement.

[Falkra]

A l'heure où j'ai posté (avant edit), la page renvoyait à la 5.51, mais là c'est bien réglé et mis à jour.

 

Autant passer par là maintenant :

http://www.winamp.com/player

[horus agressor]

Bonjour !

 

Il ne suffit pas de mettre à jour "son" Windows, son antivirus et ces autres anti-machins même si cela contribue à la sécurité de son PC, il est également indispensable de mettre à jour ses utilitaires (navigateur, messagerie, outils média, et autres ! Il suffit de lire

...les attaques surviennent bien souvent 24 heures après la diffusion d’informations, à l’effet qu’une faille ou une lacune ait été trouvée à tel endroit... http://www2.canoe.com/techno/nouvelles/arc...730-101500.html

Bref,

Vulnérabilité dans Winamp (05/08/08)

 

RESUME :

Un nouveau défaut de sécurité a été identifié dans le lecteur multimédia Winamp. L'exploitation d'une erreur non spécifiée dans la fonction NowPlaying pourrait autoriser l'exécution de code malicieux sur l'ordinateur de la victime.

 

LOGICIEL(S) CONCERNE(S) :

Nullsoft Winamp 5.54 et versions inférieures

 

RISQUE :

Critique (non confirmé)

http://www.secuser.com/vulnerabilite/2008/080805-winamp.htm

 

Site de l'éditeur :

 

Download Winamp Media Player 5.541 http://www.winamp.com/player/

 

Certaines et certains que Winamp est lourdingue, et je suis d'accord, mais Winamp reste excellent pour enregistrer le streaming radio via le très léger Streamripper, une extension de Winamp, voir http://streamripper.sourceforge.net/

Un petit tuto :

Winamp Nullsoft et Streamripper pour Winamp http://www.apiguide.net/recherche_musique/ABCD-streaming.htm

Voir aussi Winamp (audio, video) http://forum.zebulon.fr/compilation-d-outi...ts-t119819.html

 

Amicalement.

[bogues007]

Bonsoir,

 

Certaines et certains que Winamp est lourdingue, et je suis d'accord, mais Winamp reste excellent pour enregistrer le streaming radio via le très léger Streamripper

 

Il y a d'autres log (voir mieux) pour enregister la radio par internet, par exemple ICY Radio, Screamer Radio et (mon préféré) Internet Digital Radio Tuner.

 

@+++