Het gaat om oudere versies van de populaire muziekspeler. Vorige week werd versie 2.80 uitgebracht door NullSoft, onderdeel van AOL Time Warner. Deze laatste versie zou helemaal veilig zijn. In versie 2.79 zit het bewuste lek, dat door de Deense student Andreas Sandblad via de Bugtraq mailinglist naar buiten is gebracht. Het probleem zit in de `mini browser' die bij de speler wordt meegeleverd. Een bug in de programmeercode van Winamp 2.79 kan er volgens Sandblad voor zorgen dat een aangepaste data-tag binnen het mp3-bestand zijn werk kan doen, wat weer een zogeheten buffer overrun tot gevolg heeft. Hierna zouden kwaadwillenden vervelende dingen kunnen doen met een getroffen computer. Volgens kenners is het ontdekte gat vooral problematisch omdat mp3-bestanden over het algemeen worden gezien als veilig. Nu blijkt echter dat zij virussen kunnen bevatten en dat het ene mp3'tje een ander mp3-bestand kan besmetten. Vaak worden mp3-bestanden voorzien van zogeheten ID3v2-tags. Hierin is informatie opgenomen over bijvoorbeeld de uitvoerend artiest, naam van het liedje en het album waar dat afkomstig van is. Deze code kan worden aangepast.

Geen vaart

In de praktijk is er nog geen gebruik gemaakt van het lek. Een specialist van Sophos Antivirus zegt tegenover CNet dat dat ook niet zo'n vaart zal lopen. "Veel applicaties hebben kwetsbaarheden waarvan gebruik kan worden gemaakt. De meeste virusschrijvers hoeven echter helemaal niet zo slim te zijn: ze kunnen simpelweg een VBS-bestandje verspreiden en dit een sexy naampje geven." Verder wijst de expert op het feit dat het aantal gebruikers van Winamp klein is vergeleken bij bijvoorbeeld het aantal gebruikers van Microsoft Outlook. Dat maakt het risico ook kleiner. Toch wordt Winamp veel gebruikt. Volgens de download-sectie van CNet is Winamp al meer dan 20 miljoen keer gedownload, veel vaker dan bijvoorbeeld de mediaspeler van Microsoft. De oplossing voor het ontdekte probleem is simpel: de laatste versie van Winamp downloaden. Deze ondersteunt overigens ook het open source muziekformaat Ogg Vorbis. Wie dat te veel moeite vindt, kan in zijn versie 2.79 ook de mini browser uitschakelen.