2004年08月27日(金) 15時30分

「Winamp」のスキンファイルに任意のコードが実行される脆弱性（impress Watch）

　デンマークのセキュリティベンダーであるSecuniaは、メディアプレイヤー「Winamp」に任意のコードが実行される脆弱性があると発表した。WinAMP 3.x/Winamp 5.xが対象。危険度は最も高い“Extremely critical”となっている。

　Winampは、米Nullsoftが開発したWindows向けメディアプレイヤーで、スキンファイルを用いて外観を自由に設定できる。今回の脆弱性は、スキンファイル用データをZIP形式で圧縮したWSZファイルに存在し、任意のコードを実行することが可能だ。例えば、WSZファイルを偽装したZIPファイルに、HTMLファイルを参照してコマンドを実行するXMLドキュメントを挿入できるという。

　初期設定では、WSZファイルとWinampが関連付けされており、不審なスキンファイルを誤ってインストールしてしまう可能性があるため、注意が必要だ。現在のところ、この脆弱性を修正したバージョンは発表されていない。回避方法としては、WSZファイルと関連付けを削除する方法もあるが、Secuniaでは他の製品を使用することを推奨している。

関連情報

■URL

　 脆弱性情報（英文）

　 http://secunia.com/advisories/12381/

　 WINAMP.COM（英文）

　 http://www.winamp.com/

　 関連記事：Winampでスキンを適用時に任意のコードが実行される脆弱性とその対策[窓の杜]

　 http://www.forest.impress.co.jp/article/2004/08/26/winampskinbug.html

　 関連記事：米Nullsoft、「Winamp 5.0」無料版ダウンロード開始

　 http://internet.watch.impress.co.jp/cda/news/2003/12/17/1532.html

（ 鷹木 創 ）

2004/08/27 14:19

http://headlines.yahoo.co.jp/hl?a=20040827-00000001-imp-sci