Secunia wykryła dwa krytyczne błędy w odtwarzaczu Winamp. Cyberprzestępcy mogą je wykorzystać za pomocą odpowiednio spreparowanego strumienia danych. Dzięki temu mają możliwość wykonania na zaatakowanym komputerze szkodliwego kodu. Udostępniono już poprawioną wersję Winampa.

Luki występują w bibliotece in_mp3.dll. Podczas przetwarzania danych przesłanych za pomocą protokołu Ultravox może dojść do błędy przepełnienia bufora, a co za tym idzie, do wstrzyknięcia i wykonania szkodliwego kodu. Błędy można wykorzystać wstawiając bardzo długi łańcuchy danych w polach artist i name. Protokół Ultravox jest wykorzystywany przez AOL do strumieniowego przekazywania danych internetowych stacji radiowych.

Secunia potwierdziła występowanie błędu w wersjach 5.21, 5.5 i 5.51 Winampa. Niewykluczone, że są one obecne także w innych wersjach. Udostępniono już poprawioną wersję 5.52, można pobrać ją tutaj.