Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Sobrescritura arbitraria de archivos en Musicmatch
 
VSantivirus No. 1743 Año 9, viernes 15 de abril de 2005

 Sobrescritura arbitraria de archivos en Musicmatch
http://www.vsantivirus.com/vul-musicmatch-230305.htm

Por Angela Ruiz
angela@videosoft.net.uy

Musicmatch Jukebox permite reproducir, administrar, descubrir y obtener música, grabar CDs y convertir a diferentes formatos, además de poder crear listas de reproducción, etc. Desde setiembre de 2004, Musicmatch pertenece a Yahoo! Inc.

Recientemente se han reportado algunas vulnerabilidades en este reproductor de uso gratuito, que permiten la ejecución de código, sin el conocimiento del usuario o la sobrescritura de datos.

Aunque no es posible en Windows XP, en versiones anteriores de Windows se puede explotar en forma remota uno de estos fallos para ejecutar archivos. Sin embargo, aún en XP, se podrían utilizar otras técnicas para descargar un código malicioso (virus o troyano), y luego hacer que el usuario lo ejecute al utilizar algunas opciones de Musicmatch.

Según el aviso de Yahoo!, también se corrige un fallo relacionado con un desbordamiento de búfer y la posibilidad de realizar "Cross-Site-Scripting" (XSS), lo que permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.

El impacto potencial del problema, es la posibilidad de ejecución de código malicioso (troyanos, virus, gusanos, etc.), la perdida de información (borrado de carpetas del disco duro), con la necesidad de reinstalar el sistema operativo, y el fallo de otras aplicaciones como Internet Explorer por ejemplo.


Software afectado:

- Musicmatch 10 (v10.00.2047 y anteriores)
- Musicmatch 9 (v9.00.5059 y anteriores)


Solución:

Yahoo ha publicado una versión actualizada que soluciona este problema (el programa también puede actualizarse automáticamente).

Se recomienda descargar dicha versión desde el siguiente enlace:

http://www.musicmatch.com/download/free/security.htm

Nota: la versión en español (9.0) es vulnerable. Según nuestros informes, no existe al momento actual, una versión en nuestro idioma corregida.


Referencias:

Musicmatch Security FAQ
http://www.musicmatch.com/info/user_guide/faq/security_updates.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS