Player bersagliati da falle e trojan

iTunes e Winamp e mpg123: sono tre i media player piuttosto noti che in questi giorni hanno dovuto affrontare alcune serie falle di sicurezza. Windows Media Player è invece bersaglio di due trojan che strisciano sulle reti P2P.

Tre noti media player software sono afflitti da alcune vulnerabilità che potrebbero mettere a serio rischio la sicurezza degli utenti. Un quarto player, quello integrato in Windows, è invece il bersaglio di un pericoloso cavallo di Troia che prende soprattutto di mira i network P2P.

Il nuovo iTunes 4.7.1, scaricabile da qui per Windows e Mac, corregge un errore di tipo "boundary" nella gestione delle playlist. Secondo quanto riportato da Secunia, la falla potrebbe consentire ad un cracker di eseguire del codice a propria scelta e compromettere, in questo modo, la sicurezza di un sistema. Per far questo l'aggressore deve tuttavia indurre l'utente ad aprire un file malevolo con estensione ".m3u" o ".pls".

Oltre a sistemare il bug appena descritto, la nuova versione di iTunes introduce il supporto al neonato iPod shuffle, consente di copiare immagini su iPod photo e permette di cercare, all'interno della propria collezione di brani musicali, eventuali duplicati.

L'altra grave vulnerabilità di sicurezza interessa il player open source mpg123, particolarmente noto fra gli utenti di Linux e Unix. In un avviso apparso sul sito di Gentoo Linux si spiega che il player contiene un "buffer overflow" nel codice che fa il parsing di alcuni tipi di stream audio. Come conseguenza, un aggressore potrebbe creare un server di musica attraverso cui trasmettere agli utenti file MP2 o MP3 malevoli: una volta aperti, questi file possono eseguire del codice che può consentire al cracker di eseguire comandi con gli stessi privilegi dell'utente che ha lanciato mpg123. Far leva su questa falla, secondo Secunia, potrebbe non essere una passeggiata. Tuttavia, una volta creato l'exploit, per i malintenzionati potrebbe essere fin troppo facile indurre un utente a cliccare su di un link malevolo.

Sul sito di mpg123 si legge che "il progetto non è attualmente in attività", ma si evidenzia come nel player vi siano "alcuni seri problemi di sicurezza": pertanto il team di sviluppo raccomanda agli utenti di non scaricare il codice sorgente - non aggiornato - che si trova sul sito. Lo sviluppo delle patch sarà dunque a carico dei singoli distributori di Linux che includono i sorgenti di mpg123 all'interno dei propri sistemi operativi. Fino a che il problema non verrà corretto, Secunia suggerisce di utilizzare un altro player.

Ad incespicare è anche il celebre Winamp che, con la nuova versione 5.08c, ha ucciso un baco che si era infiltrato nel codice della libreria in_cdda.dll. Si tratta, per la precisione, di un buffer overflow di cui, secondo Secunia, non è ancora del tutto nota la pericolosità.....

...continua la news tratta da Punto-Informatico.it