Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 7.4.2004

CERT-FI: haavoittuvuus Winamp-ohjelmistossa

Suositusta äänitiedostojen kuunteluun tarkoitetusta Winamp-ohjelmistosta on löytynyt vakava puskuriylivuotohaavoittuvuus. Haavoittuvuus liittyy ohjelmiston in_mod.dll-kirjastoon, jota käytetään tietyn tyyppisten tiedostojen lataamiseen. Hyökkääjä voi hyödyntää haavoittuvuutta houkuttelemalla käyttäjän lataamaan erityisesti muokatun musiikkitiedoston. Haavoittuvuus on vaarallinen, koska hyökkääjä voi sen avulla päästä suorittamaan kohdetietojärjestelmässä omia komentojaan.

Haavoittuvuus ilmenee kaikissa Winampin versioissa välillä 2.91-5.02 sekä myös mahdollisesti 2.91-versiota edeltävissä versioissa. Ohjelmistoa kehittävä Nullsoft on julkaissut ohjelmistosta version 5.0.3, johon haavoittuvuus on korjattu.

Lue juttu oma, 7.4.2004 00:02. Lähde: CERT-FI

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 17 uutta / 17 )
pistettä.
Näytä vain kommentit joilla on vähintään
Pisterajan alittavia kommentteja piilossa.
Re:
Anonyymi kommentoija, 7.4.2004 01:57:02		 Pisteet: 0
Heti korjattu. Niin sitä pitää...
Jep.

Ja kun valmiiksi miinuksilla niin voi vähän trollatakin.

Windows on kuin tahkojuustua. Tässä se taas nähdään.
Linuxin kernelissä on vähemmän aukkoja kuin kaikissa maailman windows ohjelmissa.

(Piruuttaan piti kun aina jokaisesta linux ohjelmasta samalla tavalla haukutaan linuxia ;) Jos edes tällä kertaa joku tajuisi pienen tilastollisen virheen windows vs linux sodassa)
Re:
Anonyymi kommentoija, 7.4.2004 07:13:58		 Pisteet: 0
Heti korjattu. Niin sitä pitää...
Jep.
Ja kun valmiiksi miinuksilla niin voi vähän trollatakin.
Windows on kuin tahkojuustua. Tässä se taas nähdään.
Linuxin kernelissä on vähemmän aukkoja kuin kaikissa maailman windows ohjelmissa.
(Piruuttaan piti kun aina jokaisesta linux ohjelmasta samalla tavalla haukutaan linuxia ;) Jos edes tällä kertaa joku tajuisi pienen tilastollisen virheen windows vs linux sodassa)
Ei siinä mitään tilastollista harhaa ole. Aukoiksi lasketaan kaikki ne aukot jotka ovat siinä kamassa mikä tulee jakelun mukana. Jos kerran otetaan kunniaa siitä miten paljon softaa tulee mukana, pitäisi olla miestä vastata myös niistä softista.

Autoesimerkki:
Autossa on ilmastointi, mp3-soitin ja gps. Auton myyjä ottaa kunniaa siitä kuinka hyvä varustelu autossa on. Kun selviää että noissa välineissä on puutteita, hän vetoaa siihen "ei se ole auton vika, eivät nuo oikeasti kuulu autoon vaan ovat vain lisävarusteita".
Re:
Anonyymi kommentoija, 7.4.2004 15:11:05		 Pisteet: 0
Heti korjattu. Niin sitä pitää...
Jep.
Ja kun valmiiksi miinuksilla niin voi vähän trollatakin.
Windows on kuin tahkojuustua. Tässä se taas nähdään.
Linuxin kernelissä on vähemmän aukkoja kuin kaikissa maailman windows ohjelmissa.
(Piruuttaan piti kun aina jokaisesta linux ohjelmasta samalla tavalla haukutaan linuxia ;) Jos edes tällä kertaa joku tajuisi pienen tilastollisen virheen windows vs linux sodassa)
Ei siinä mitään tilastollista harhaa ole. Aukoiksi lasketaan kaikki ne aukot jotka ovat siinä kamassa mikä tulee jakelun mukana. Jos kerran otetaan kunniaa siitä miten paljon softaa tulee mukana, pitäisi olla miestä vastata myös niistä softista.
Autoesimerkki:
Autossa on ilmastointi, mp3-soitin ja gps. Auton myyjä ottaa kunniaa siitä kuinka hyvä varustelu autossa on. Kun selviää että noissa välineissä on puutteita, hän vetoaa siihen "ei se ole auton vika, eivät nuo oikeasti kuulu autoon vaan ovat vain lisävarusteita".
Loistavia autoesimerkkejä.

Verrataanko sitten samantien että ostat auton x-osilla. Optiona liike tarjoo lisävarusteita autoon jotka eivät ole auton valmistajan tekemiä. Ajat auton kotiin ja päätät asennuttaa siihen näitä optioita sen jälkeen. Onko optiossa oleva vika autossa vai liikkeessä? Linuxilla se on autovalmistajalla ja windowssilla se on liikkeellä näissä tilastoissa.

Unohdit sen asian linuxissa että distro on "kauppiaan" kasaama paketti eikä itse linux "tehtaan". Pelkän "auton" löydät itsekin ilman optioita osoitteestä kernel.org.

Toisinpäin vielä rautalangasta..
Jos nyt kasaan paketiksi windows xp, office, vanha winamp, ynnä muuta ja myyn tätä pakettia xxxxx nimellä.
Onko vika windownsissa kun tässä paketissa on toi winampin ongelma on vai onko vika xxxxx distrossa.
Windows vs Linux logiikalla vika olisi windows:sissa.

Homman nimi kun on se että porukka joka ei tajua eroa yleistää linux käyttöjärjestelmän käsittämään kaikkea linux ohjelmaa.
Linuxissa distroissa vaan yleisimpiä ohjelmia laitetaan mukaan jotta niiden asennus olisi helpompaa. Ei se silti tee niistä ohjelmista linuxia vaan linuxille olevia ohjelmia kuten windowsilla ohjelmat.
tpr Re:
tpr, 7.4.2004 22:10:05		 Pisteet: 0
Ei siinä mitään tilastollista harhaa ole. Aukoiksi lasketaan kaikki ne aukot jotka ovat siinä kamassa mikä tulee jakelun mukana. Jos kerran otetaan kunniaa siitä miten paljon softaa tulee mukana, pitäisi olla miestä vastata myös niistä softista.
Jep, ja onhan se hienoa kun Debian löytyy vielä usealle alustalle ja kaikilta eri alustoiltakin lasketaan samat bugit, vai miten se menikään? "Kun tukee monta alustaa, pitää bugien määrä kertoa tuettujen alustojen määrällä"?
korjattu
Anonyymi kommentoija, 7.4.2004 00:33:56		 Pisteet: 0
Mielenkiintoista, että korjaus on saatavilla vain siten, että päivität uusinpaan versioon.
Itse en ainakaan tykkää tuosta 5.x sarjalaisesta lainkaan, vaan käytän edelleenkin 3.x sarjalaista.

Luulisi Nullsoftin tukevan vielä vanhempiakin versioita sen verran, että tarjoisi niihin erillistä päivitystä.
Re: korjattu
Anonyymi kommentoija, 7.4.2004 02:35:08		 Pisteet: 0
Mielenkiintoista, että korjaus on saatavilla vain siten, että päivität uusinpaan versioon. Itse en ainakaan tykkää tuosta 5.x sarjalaisesta lainkaan, vaan käytän edelleenkin 3.x sarjalaista.
Luulisi Nullsoftin tukevan vielä vanhempiakin versioita sen verran, että tarjoisi niihin erillistä päivitystä.
Olisit lukenut ennen kommentointia; jos ei halua/voi päivittää, sen voi kiertää poistamalla haavoittuvan playerin käytöstä, menee asetuksiin ja sieltä napsauttaa ruksin pois enabledista ja valmista on.
Mutta että "edelleen 3.x", sehän oli juuri täysi susi, viitonen on 2.x hyvät ominaisuudet + lisää muuta. Classic skinillä ihan yhtä kevyt kuin kakkossarja.
janilxx Re: korjattu
janilxx, 7.4.2004 08:07:51		 Pisteet: 0
viitonen on 2.x hyvät ominaisuudet + lisää muuta.
Vitonen on muistaakseni tekijöiden mukaan 2.x:n parhaat palat + 3.x:n parhaat palat. 2+3=5. Tämän vuoksi versiota 4 ei koskaan julkaistu.
Re: korjattu
Anonyymi kommentoija, 7.4.2004 07:46:01		 Pisteet: 0
Mielenkiintoista, että korjaus on saatavilla vain siten, että päivität uusinpaan versioon. Itse en ainakaan tykkää tuosta 5.x sarjalaisesta lainkaan, vaan käytän edelleenkin 3.x sarjalaista.
Luulisi Nullsoftin tukevan vielä vanhempiakin versioita sen verran, että tarjoisi niihin erillistä päivitystä.
Winamp 3.x on niitä harvoja ohjelmia, jotka ovat onnistuneet tuomaan sinisen kuoleman Windows XP:hen. Täysin susi soittimena, mutta saahan sitä toki käyttää. Kyllähän jotkut käyttävät vielä Windows 95:stakin ja ajelevat Ladalla tai vanhalla Toyota Corollalla.
Re: korjattu
Anonyymi kommentoija, 7.4.2004 09:58:07		 Pisteet: 0
Winamp 3.x on niitä harvoja ohjelmia, jotka ovat onnistuneet tuomaan sinisen kuoleman Windows XP:hen. Täysin susi soittimena, mutta saahan sitä toki käyttää. Kyllähän jotkut käyttävät vielä Windows 95:stakin ja ajelevat Ladalla tai vanhalla Toyota Corollalla.
Minä käytän edelleen joka koneessa 2.91:tä, koska 3.x tai 5.x eivät tuoneet mitään uutta peliin. Nullsoft haluaa pakottaa nyt vaihtamaan 5.x:ään jota en kuitenkaan taida tehdä, koska olen testannut sitä työkoneessa enkä pidä siitä ollenkaan. Softa vaihtuu jos ei ala 2.9 sarjaan tulla päivitystä.
Re: korjattu
Anonyymi kommentoija, 7.4.2004 11:24:23		 Pisteet: 0
Minä käytän edelleen joka koneessa 2.91:tä, koska 3.x tai 5.x eivät tuoneet mitään uutta peliin. Nullsoft haluaa pakottaa nyt vaihtamaan 5.x:ään jota en kuitenkaan taida tehdä, koska olen testannut sitä työkoneessa enkä pidä siitä ollenkaan.
Media Library. "En ymmärrä miten tulin ennen toimeen ilman tätä"-tv-shop-fraasi sopisi tähän paikkaan. Ja mistään pakottamisesta on turha puhua. Nullsoft tarjoaa mainiota ilmaista softaa ja sinä koet tulleesi pakotetuksi, kun vanhaan (ja vanhentuneeseen) versioon ei enää tehdä päivityksiä. Minusta ainakin kuulostaa täysin kohtuuttomalta.

Et ilmeisesti pidä siitä kakkosversiostakaan, kun vitosen saa näyttämään ja käyttäytymään täysin samalla tavalla. Toisaalta en ymmärrä sitäkään miten kukaan pitää kolmosta parempana kuin vitosversio. Vitonenhan on oletusasetuksillaan suurin piirtein sama kuin kolmonen; vain bugit ovat liiskattu.
Re: korjattu
Anonyymi kommentoija, 7.4.2004 16:09:22		 Pisteet: 0
Media Library. "En ymmärrä miten tulin ennen toimeen ilman tätä"-tv-shop-fraasi sopisi tähän paikkaan. Ja mistään pakottamisesta on turha puhua. Nullsoft tarjoaa mainiota ilmaista softaa ja sinä koet tulleesi pakotetuksi, kun vanhaan (ja vanhentuneeseen) versioon ei enää tehdä päivityksiä. Minusta ainakin kuulostaa täysin kohtuuttomalta.
Entä ne käyttäjät, jotka ovat tuosta maksaneet sen Pro version hinnan? joskus aikoinaan sen 2.x version hinnan?

Et ilmeisesti pidä siitä kakkosversiostakaan, kun vitosen saa näyttämään ja käyttäytymään täysin samalla tavalla. Toisaalta en ymmärrä sitäkään miten kukaan pitää kolmosta parempana kuin vitosversio. Vitonenhan on oletusasetuksillaan suurin piirtein sama kuin kolmonen; vain bugit ovat liiskattu.
Pisterajan alittavia kommentteja piilossa.
Re: korjattu
Anonyymi kommentoija, 7.4.2004 14:00:48		 Pisteet: 0
Winamp 3.x on niitä harvoja ohjelmia, jotka ovat onnistuneet tuomaan sinisen kuoleman Windows XP:hen. Täysin susi soittimena, mutta saahan sitä toki käyttää.
Jos jonkin softa vie kaatuessaan mukanaan XP:n niin missähän se vika silloin on?
Täysin susi käyttis, mutta saahan sitä toki käyttää.
Entäs jos minä pistän siihen Linuxiisi kortin, joka valmistajan mukaan toimii Linuxissa ja valmistajakin on sille Linux-ajurin tehnyt ja vaikka toimin täysin ohjeiden mukaan, niin se käyttis silti ottaa ja jumiutuu lopullisesti. Käyttiksessäkö vika? Tuskin. Silloin tulisi "et vain osaa"-kommentteja tai väitettä siitä, että ei se Linux kaatunut vaan ikkunamanageri tai joku helkatin hilavitkutin kaatui ja kehoitus bootata verkon kautta jos kerran näppis tai näyttö tai mikään muukaan paitsi prosessorin tuuletin ei hurise.

-2
Re: korjattu
Anonyymi kommentoija, 7.4.2004 12:16:16		 Pisteet: 0
Mielenkiintoista, että korjaus on saatavilla vain siten, että päivität uusinpaan versioon. Itse en ainakaan tykkää tuosta 5.x sarjalaisesta lainkaan, vaan käytän edelleenkin 3.x sarjalaista.
Luulisi Nullsoftin tukevan vielä vanhempiakin versioita sen verran, että tarjoisi niihin erillistä päivitystä.
Luulis että kun sieltä 5.x:stä ottaa plugins hakemistosta tai missä lieneekään in_mod.dll:än ja kopioi sen 2.x sarjan in_mod.dll:n päälle niin pitäs toimia. Mutta joo erillinen päivitys olis ihan kiva esim pelkästään tolle tiedostolle joka on viallinen.
daimoni Re: korjattu
daimoni, 7.4.2004 10:16:53		 Pisteet: 0
Mielenkiintoista, että korjaus on saatavilla vain siten, että päivität uusinpaan versioon.
Aika lailla yksi hailee. Veikkaanpa että aika epätodennäköistä että itsellesi moinen tiedosto jostain yksyisi. _mod viittaa vielä että ongelma on vain mod-muotoisissa tiedostoissa.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
3 vs. 5 ..eikun sittenkin Foobar
Anonyymi kommentoija, 8.4.2004 11:21:44		 Pisteet: 0
Todellakin sairasta käyttää 3:sta, kun 2 ja 5:kin ovat olemassa. Tuo 3 on ehkä yksi paskimmista aikoihin... Mutta loppujen lopuksi siltikin: Foobar2000 \o/. Pienellä konffauksella ääni kuulostaa melkein cd-laatuiselta (tosin ei millään telkänpöntöillä/muovisubilla, mutta kunnon laitteilla.)