« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Sobrescritura arbitraria de archivos en Musicmatch  (Leído 1871 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Sobrescritura arbitraria de archivos en Musicmatch
« en: 15 de Abril de 2005, 06:58:22 pm »
Sobrescritura arbitraria de archivos en Musicmatch

Musicmatch Jukebox permite reproducir, administrar, descubrir y obtener música, grabar CDs y convertir a diferentes formatos, además de poder crear listas de reproducción, etc. Desde setiembre de 2004, Musicmatch pertenece a Yahoo! Inc.

Recientemente se han reportado algunas vulnerabilidades en este reproductor de uso gratuito, que permiten la ejecución de código, sin el conocimiento del usuario o la sobrescritura de datos.

Aunque no es posible en Windows XP, en versiones anteriores de Windows se puede explotar en forma remota uno de estos fallos para ejecutar archivos. Sin embargo, aún en XP, se podrían utilizar otras técnicas para descargar un código malicioso (virus o troyano), y luego hacer que el usuario lo ejecute al utilizar algunas opciones de Musicmatch.

Según el aviso de Yahoo!, también se corrige un fallo relacionado con un desbordamiento de búfer y la posibilidad de realizar "Cross-Site-Scripting" (XSS), lo que permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.

El impacto potencial del problema, es la posibilidad de ejecución de código malicioso (troyanos, virus, gusanos, etc.), la perdida de información (borrado de carpetas del disco duro), con la necesidad de reinstalar el sistema operativo, y el fallo de otras aplicaciones como Internet Explorer por ejemplo.

Software afectado:- Musicmatch 10 (v10.00.2047 y anteriores)
- Musicmatch 9 (v9.00.5059 y anteriores)

Solución:
Yahoo ha publicado una versión actualizada que soluciona este problema (el programa también puede actualizarse automáticamente).

Se recomienda descargar dicha versión desde el siguiente enlace:
http://www.musicmatch.com/download/free/security.htm
Nota: la versión en español (9.0) es vulnerable. Según nuestros informes, no existe al momento actual, una versión en nuestro idioma corregida.

Referencias:
Musicmatch Security FAQ
http://www.musicmatch.com/info/user_guide/faq/security_updates.htm
Publicado por: http://www.vsantivirus.com/vul-musicmatch-230305.htm
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Sobrescritura arbitraria de archivos en Musicmatch
« Respuesta #1 en: 15 de Abril de 2005, 07:46:56 pm »
Gracxias Danae

un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.