Mit dem Update auf Version 7.4 haben die Entwickler der DJ-Software VirtualDJ einen Bug bei der Auswertung von ID3-Tags behoben, der sich im Nachgang als kritische Sicherheitslücke entpuppte. Der Bug eignet sich nämlich sogar zum Einschleusen von Schadcode, entgegen der Angaben im Changelog, wonach missgebildete ID3-Tags lediglich potenziell zum Absturz führen können.

Es kursiert bereits ein Exploit, der beim Verarbeiten des ID3-Tags unter Windows den Buffer Overflow ausnutzt. Bei der Auswertung des Songtitels ("Title") kommt es konkret zu dem Overflow. Das Abspielen einer verseuchten MP3-Datei mit VirtualDJ kann zur Infektion des Rechners führen. Wer das DJ-Programm installiert hat, sollte umgehend auf die aktuelle Version umsatteln. Darüber hinaus behebt das Update zahlreiche weitere Bugs.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE