Er is een kritieke kwetsbaarheid ontdekt in Steinberg MyMP3Player, versie 3.0 (build 3.0.0.67), waarbij sprake is van een stack-gebaseerde buffer overflow. Deze kwetsbaarheid wordt veroorzaakt tijdens het parsen van .m3u playlistbestanden en kan het uitvoeren van willekeurige code mogelijk maken. Door een gebruiker te overtuigen een speciaal .m3u-bestand te openen, kan een aanvaller zonder tussenkomst toegang krijgen tot het systeem.
Overzicht
De kwetsbaarheid is aanwezig in de module .m3u playlist file parser van Steinbergs MyMP3Player en treft alle versies tot en met 3.0.0.67. Het probleem is het gevolg van een verkeerd gevalideerde invoer in de playlist, waardoor critieke geheugenstructuren kunnen worden overschreven.
Aanbevelingen
- Voorkom het openen van ongeverifieerde .m3u-bestanden van onbekende bronnen.
- Overweeg een upgrade naar een nieuwere, veilige mediaspeler indien beschikbaar.
Bronnen
- Exploit-DB: Exploit 11791
- Exploit-DB: Exploit 16633
- Exploit-DB: Exploit 14581
- Metasploit Module
- Fortiguard Advisory
- Product informatie
- VulnCheck Advisory
Vraag en Antwoord
Wat is CVE-2010-20123?
CVE-2010-20123 beschrijft een kwetsbaarheid in Steinberg MyMP3Player waarbij een buffer overflow kan optreden wanneer .m3u-bestanden worden verwerkt.
Welke systemen zijn kwetsbaar voor CVE-2010-20123?
Versies van Steinberg MyMP3Player tot en met 3.0.0.67 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment zijn er geen beveiligingsupdates bekend die dit probleem adresseren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan, door een gebruiker een kwaadaardig .m3u-bestand te laten openen, willekeurige code uitvoeren op het systeem.
Controleer uw systemen vandaag nog om te zien of u kwetsbaar bent voor deze exploit.
