CERTA-2002-AVI-283
Vulnerability from certfr_avis

Plusieurs débordements de mémoire permettant l'exécution de code arbitraire à distance sont présents dans différentes versions de Winamp.

Description

Le logiciel Winamp permet de lire des fichiers au format MP3.

Une mauvaise gestion des balises (tag) « ID3v2 artist » par le logiciel Winamp permet d'exécuter du code arbitraire au moyen d'un fichier MP3 habilement construit.

Ces vulnérabilités sont exploitables à distance.

Solution

  • Pour les utilisateurs de Winamp 2.81 :

    Mettre à jour Winamp dans sa dernière version depuis le site web de Winamp :

    http://classic.winamp.com/download

  • Mettre à jour Winamp dans sa dernière version 3.0 build #488 depuis le site web de Winamp :

    http://www.winamp.com/download

    Pour vérifier la version de Winamp 3.0 utiliser le menu « A Propos » (ou « about » ).

Winamp 2.81 et 3.0 (si leur téléchargement a été réalisé avant le 17 décembre 2002).

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eWinamp 2.81 et 3.0 (si leur t\u00e9l\u00e9chargement a \u00e9t\u00e9 r\u00e9alis\u00e9 avant  le 17 d\u00e9cembre 2002).\u003c/P\u003e",
  "content": "## Description\n\nLe logiciel Winamp permet de lire des fichiers au format MP3.\n\nUne mauvaise gestion des balises (tag) \u00ab ID3v2 artist \u00bb par le logiciel\nWinamp permet d\u0027ex\u00e9cuter du code arbitraire au moyen d\u0027un fichier MP3\nhabilement construit.\n\nCes vuln\u00e9rabilit\u00e9s sont exploitables \u00e0 distance.\n\n## Solution\n\n-   Pour les utilisateurs de Winamp 2.81 :\n\n    Mettre \u00e0 jour Winamp dans sa derni\u00e8re version depuis le site web de\n    Winamp :\n\n        http://classic.winamp.com/download\n\n-   Mettre \u00e0 jour Winamp dans sa derni\u00e8re version 3.0 build \\#488 depuis\n    le site web de Winamp :\n\n        http://www.winamp.com/download\n\n    Pour v\u00e9rifier la version de Winamp 3.0 utiliser le menu \u00ab A Propos \u00bb\n    (ou \u00ab about \u00bb ).\n",
  "cves": [],
  "initial_release_date": "2002-12-27T00:00:00",
  "last_revision_date": "2002-12-27T00:00:00",
  "links": [
    {
      "title": "Le bulletin d\u0027information #9680 de Winamp :",
      "url": "http://www.winamp.com/news.jhtml?articleid=9680"
    }
  ],
  "reference": "CERTA-2002-AVI-283",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-12-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Plusieurs d\u00e9bordements de m\u00e9moire permettant l\u0027ex\u00e9cution de code\narbitraire \u00e0 distance sont pr\u00e9sents dans diff\u00e9rentes versions de Winamp.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Winamp",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "bulletin d\u0027information de Winamp",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.