发布日期：2002-05-20
更新日期：2002-05-26

受影响系统：

Nullsoft Winamp 2.80
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP2
    - Microsoft Windows 2000 SP1
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 4781

Nullsoft Winamp是一款支持MP3和其他文件类型的媒体播放器，可运行在Microsoft Windows操作系统下。

Nullsoft Winamp把认证信息以明文形式存储在系统中，导致本地攻击者可以获得此敏感信息访问需要验证的资源。

Winamp在访问需要验证的流信息内容时，需要用户输入用户名和密码，此用户名和密码Nullsoft Winamp以明文方式存储在winamp.ini中的

[HTTP-AUTH]部分，存储格式为<domain - TLD>=<username>:<password>。

任何本地用户可以通过获得此信息访问需要认证的流资源。

<*来源：isox （isox@chainsawbeer.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0171.html
*>

建议：

---

临时解决方法：



厂商补丁：

Nullsoft
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.winamp.com



浏览次数：3722
严重程度：0（网友投票）