Detalji

U radu programskog paketa Magic Music Editor uočena je nova sigurnosna ranjivost. Radi se o vrlo popularnom i jednostavnom alatu za snimanje i obradu audio zapisa raznih formata. Spomenuta ranjivost posljedica je pogrešaka pri obradi CDA (eng. CD Audio Track) datoteka. Napadačima omogućuje kompromitaciju ranjivog korisničkog sustava te pokretanje proizvoljnog programskog koda. Uspješna zloupotreba podrazumijeva navođenje korisnika na otvaranje CDA datoteke iz zlonamjerne mape. Svim se korisnicima, u svrhu zaštite, preporuča izbjegavanje otvaranja datoteka iz nepouzdanih izvora. 

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-03-016
Naslov: Uocena ranjivost u radu programskog paketa Magic Music Editor
Datum: 2011-03-09
OS: Windows
Programski paket: Magic Music Editor
Tip sigurnosnog problema: pokretanje proizvoljnog koda
Rizik: srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Magic Music Editor uocena je sigurnosna ranjivost. 

Music Editor je alat za snimanje i obradu zvuka, a bitnije od njegovih mogucnosti su:
- omogucava otvaranje, stvaranje i spremanje audio datoteka u bilo kojem od podrzanih 
  formata,
- reproducira zvuk datoteke ili bilo koji dio datoteke,
- nudi mogucnost snimanja audio zapisa s mikrofona ili bilo kojeg drugog ulaznog uredjaja,
- jednostavan je za koristenje i dr.

Podrzani formati su:
- MP3 (MPEG Layer-3), MP2(MPEG Layer-2),
- Ogg (Ogg Vorbis),
- WMA (Windows Media Audio),
- CDA (Audio CD Tracks),
- AVI (Audio Stream),
- AIFF (Apple),
- AU (UNIX),
- G.721, G.723, G.726,
- VOX (Dialogic ADPCM),
- RAW, itd.

Vise informacija o samom paketu dostupno je na sljedecoj web adresi:

http://www.magic-video-software.com/magic_music_editor/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Spomenuti propust, uocen u radu programskog paketa Magic Music Editor, napadaci mogu 
iskoristiti za izvrsavanje zlonamjernog programskog koda. 

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Korisnicima se preporuca izbjegavanje otvaranja datoteka pristiglih iz nepouzdanog izvora.

-------------------------------------------------------------------------------

[4]  Analiza

Uocena ranjivost uzrokovana je zbog pogresaka pri obradi CDA (eng. CD Audio Track)
datoteka, a moze biti iskoristena za prepisivanje stoga putem posebno oblikovane datoteke pohranjene u posebno oblikovanoj mapi.

Uspjesna zloupotreba omogucava pokretanje proizvoljnog programskog koda, ali zahtijeva
da korisnik otvori CDA datoteku iz zlonamjerne mape.

Ranjiovst je potvrdjena u inacici 8.12.1.2220, no postoji mogucnost da i ostale inacice
sadrze istu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je:

C4SS!0 G0M3S

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________

Idi na vrh