Die Entwickler der DJ-Software VirtualDJ haben mit dem Update auf Version 7.4 einen Bug bei der Auswertung von ID3-Tags behoben, der sich im Nachgang als kritische Sicherheitslücke entpuppte. Entgegen der Angaben im Changelog, wonach missgebildete ID3-Tags lediglich potenziell zum Absturz führen können, eignet sich der Bug nämlich sogar zum Einschleusen von Schadcode.
Es kursiert bereits Link ist nicht mehr aktiv., der den Buffer Overflow beim Verarbeiten des ID3-Tags unter Windows ausnutzt. Konkret kommt es bei der Auswertung des Songtitels ("Title") zu dem Overflow. Das Abspielen einer verseuchten MP3-Datei mit VirtualDJ führt zur Infektion des Rechners. Hat man das DJ-Programm installiert, sollte man umgehend auf die aktuelle Version umsatteln – insbesondere dann, wenn man mit MP3s aus nicht vertrauenswürdigen Quellen hantiert. Das Update behebt darüber hinaus zahlreiche weitere Bugs.
heise.de
Es kursiert bereits Link ist nicht mehr aktiv., der den Buffer Overflow beim Verarbeiten des ID3-Tags unter Windows ausnutzt. Konkret kommt es bei der Auswertung des Songtitels ("Title") zu dem Overflow. Das Abspielen einer verseuchten MP3-Datei mit VirtualDJ führt zur Infektion des Rechners. Hat man das DJ-Programm installiert, sollte man umgehend auf die aktuelle Version umsatteln – insbesondere dann, wenn man mit MP3s aus nicht vertrauenswürdigen Quellen hantiert. Das Update behebt darüber hinaus zahlreiche weitere Bugs.
heise.de