SonicStage CP:ernsthaftes Sicherheitsproblem durch Playlists

Neuigkeiten im Bereich der (Hi-)MD

Moderator: Team

Nachricht
Autor
Benutzeravatar
indeego
Administrator
Administrator
Beiträge: 10149
Registriert: Dienstag 23. April 2002, 18:30

SonicStage CP:ernsthaftes Sicherheitsproblem durch Playlists

#1 Ungelesener Beitragvon indeego » Dienstag 30. Oktober 2007, 16:28

Heise.de berichtetvon einem möglichen Pufferüberlauf durch manipulierte Playlists (.m3u)

heise.de hat geschrieben:Sonys SonicStage CP lässt sich Code unterschieben Meldung vorlesen

Sony setzt als Verwaltungssoftware für das Befüllen der MP3-Player des Herstellers auf SonicStage CP. Allerdings verarbeitet die Software manipulierte Playlisten nicht korrekt, sodass Angreifer damit fremden Programmcode einschleusen und ausführen können.
Anzeige

Laut einer Sicherheitsmeldung von Secunia hat Parvez Anwar die Sicherheitslücke in der Software entdeckt. Enthält eine .m3u-Playliste einen Eintrag mit mehr als 1000 Zeichen, kann ein Pufferüberlauf auftreten. Im Exploit-Archiv milw0rm ist ein Beispielprogramm aufgetaucht, das die Lücke demonstrieren soll.

Der Fehler soll die aktuelle Fassung SonicStage CP 4.3 und möglicherweise auch ältere Versionen betreffen. Ein Update steht bislang noch nicht bereit, sodass Nutzer der Software derzeit keine .m3u-Playlisten damit öffnen sollten.

# Beispielprogramm zur Demonstration der Lücke im milw0rm-Archiv
# Sony CONNECT Player M3U Playlist Processing Buffer Overflow, Sicherheitsmeldung von Secunia


* Fragen zu MD / Hi-MD? Nutzt den MD / Hi-MD F.A.Q.
* auf Twitter folgen: @minidiscforum
* Bitte benutzt den Bild-Button, um Posts nachträglich zu editieren.

Benutzeravatar
djtechno
MD-Guru
MD-Guru
Beiträge: 18784
Registriert: Freitag 31. Mai 2002, 13:12

#2 Ungelesener Beitragvon djtechno » Donnerstag 15. November 2007, 14:55

Demnach wirds bald ein Sonicstage CP 4.4 geben


Minidisk forever. :top: Never mind, Press Rewind. Dinge, die die Welt nicht braucht: Apple IPHONE/IPAD, Lebensmittelspekuanten, Bankenrettungen und Harz4-Reform,Kim-Jong-Un,Politiker die reden, statt zu handeln

Benutzeravatar
hi-eric
MD-Fan
MD-Fan
Beiträge: 423
Registriert: Samstag 3. Februar 2007, 22:55

#3 Ungelesener Beitragvon hi-eric » Donnerstag 15. November 2007, 19:58

djtechno hat geschrieben:Demnach wirds bald ein Sonicstage CP 4.4 geben

....das dann ohne atrac daherkommen wird. also ohne mich. 4.3 forever, vista never.



Benutzeravatar
SharpSony
Administrator a.D.
Beiträge: 9576
Registriert: Donnerstag 16. Dezember 2004, 16:34

#4 Ungelesener Beitragvon SharpSony » Donnerstag 15. November 2007, 20:39

djtechno hat geschrieben:Demnach wirds bald ein Sonicstage CP 4.4 geben


Abwarten...

hi-eric hat geschrieben:....das dann ohne atrac daherkommen wird.


Das wäre ziemlicher Quatsch, schließlich sind die vielen MD-Walkman-Besitzer auf ATRAC angewiesen! Aber das ist nicht Thema dieses Threads!


Sharp MD-SR70, MD-MT80, 2 x MD-MT180, MD-MT190, MD-MT270, MD-DR470, Sony MZ-R30, MZ-R37, MZ-R50, MZ-R700, MZ-R909, MZ-N510, MZ-NH700, MZ-NH900, MZ-RH10, MZ-RH910, MZ-RH1, Aiwa AM-F80, Kenwood DMC-J7R

Benutzeravatar
hi-eric
MD-Fan
MD-Fan
Beiträge: 423
Registriert: Samstag 3. Februar 2007, 22:55

#5 Ungelesener Beitragvon hi-eric » Donnerstag 15. November 2007, 22:12

SharpSony hat geschrieben:
djtechno hat geschrieben:Demnach wirds bald ein Sonicstage CP 4.4 geben


Abwarten...

hi-eric hat geschrieben:....das dann ohne atrac daherkommen wird.


Das wäre ziemlicher Quatsch, schließlich sind die vielen MD-Walkman-Besitzer auf ATRAC angewiesen! Aber das ist nicht Thema dieses Threads!

sony hat doch selbst gesagt, dass connect und atrac von der bilfläche verschwinden. also hat das nächste sonicstage keinen connect zugang mehr und auch keine atrac-option mehr. viel spass im mp3 modus.



DMW
MD-Enthusiast
MD-Enthusiast
Beiträge: 1979
Registriert: Dienstag 27. September 2005, 19:54

#6 Ungelesener Beitragvon DMW » Freitag 16. November 2007, 00:13

hi-eric hat geschrieben:sony hat doch selbst gesagt, dass connect und atrac von der bilfläche verschwinden. also hat das nächste sonicstage keinen connect zugang mehr und auch keine atrac-option mehr.
Die Logik erschließt sich mir nicht. Weil man ein Produkt auslaufen läßt, schafft man auch gleich den Support der bisherigen Nutzerschaft ab?


"Conspiracy is the poor man's mapping of the world" - Fredric Jameson

Benutzeravatar
djtechno
MD-Guru
MD-Guru
Beiträge: 18784
Registriert: Freitag 31. Mai 2002, 13:12

#7 Ungelesener Beitragvon djtechno » Freitag 16. November 2007, 11:39

Meines Verständnisses nach soll das heutige Sonicstage CP weiter gewartet werden. Das heißt,das Atrac, was z.zt. drin ist, bleibt auch drin, wird nur nicht mehr verbessert. Aber bugfixes wirds demnach noch geben, nur keine Neuen Funktionen mehr


Minidisk forever. :top: Never mind, Press Rewind. Dinge, die die Welt nicht braucht: Apple IPHONE/IPAD, Lebensmittelspekuanten, Bankenrettungen und Harz4-Reform,Kim-Jong-Un,Politiker die reden, statt zu handeln

Benutzeravatar
hi-eric
MD-Fan
MD-Fan
Beiträge: 423
Registriert: Samstag 3. Februar 2007, 22:55

#8 Ungelesener Beitragvon hi-eric » Sonntag 18. November 2007, 22:13

DMW hat geschrieben:
hi-eric hat geschrieben:sony hat doch selbst gesagt, dass connect und atrac von der bilfläche verschwinden. also hat das nächste sonicstage keinen connect zugang mehr und auch keine atrac-option mehr.
Die Logik erschließt sich mir nicht. Weil man ein Produkt auslaufen läßt, schafft man auch gleich den Support der bisherigen Nutzerschaft ab?

so kenne ich sony. "wir unterstützen das format atrac nicht mehr. alle neuen geräte werden .wma tauglich sein. wir stellen aber werkzeuge zur verfügung mit denen atrac in mp3 bzw. wma gewandelt werden können" heißt für mich, dass atrac künftig passe ist. kann aber auch sein, ich irre mich und atrac ist weiterhin in sonistage 4.4 vorhanden. hoffen wir's.



Benutzeravatar
SharpSony
Administrator a.D.
Beiträge: 9576
Registriert: Donnerstag 16. Dezember 2004, 16:34

#9 Ungelesener Beitragvon SharpSony » Montag 19. November 2007, 08:26

Erst mal abwarten, ob es überhaupt ein SoS 4.4 geben wird... :roll:


Sharp MD-SR70, MD-MT80, 2 x MD-MT180, MD-MT190, MD-MT270, MD-DR470, Sony MZ-R30, MZ-R37, MZ-R50, MZ-R700, MZ-R909, MZ-N510, MZ-NH700, MZ-NH900, MZ-RH10, MZ-RH910, MZ-RH1, Aiwa AM-F80, Kenwood DMC-J7R

Benutzeravatar
djtechno
MD-Guru
MD-Guru
Beiträge: 18784
Registriert: Freitag 31. Mai 2002, 13:12

#10 Ungelesener Beitragvon djtechno » Mittwoch 21. November 2007, 12:52

Wenn nicht, dann wirds sicher einen patch zumindest geben...

ot: schlimm ist, wenn man bei jemand anderem eine cd rippen muß, und der hat außer dem vorinstalliertem schrott keine gescheite software drauf :wand: cd rippen mit WMP9 in 128 kbit/sec wma und dann brennen mit "nti cd/dvd maker" :kotz2: NA PROST :wand:


Minidisk forever. :top: Never mind, Press Rewind. Dinge, die die Welt nicht braucht: Apple IPHONE/IPAD, Lebensmittelspekuanten, Bankenrettungen und Harz4-Reform,Kim-Jong-Un,Politiker die reden, statt zu handeln

Benutzeravatar
indeego
Administrator
Administrator
Beiträge: 10149
Registriert: Dienstag 23. April 2002, 18:30

#11 Ungelesener Beitragvon indeego » Donnerstag 6. Dezember 2007, 02:28

Sony Support Center hat geschrieben:Important Announcement for Customers of SonicStage Version 4.0 or later

November 12, 2007
Sony Corporation

Sony Corporation wishes to notify customers of a potential security vulnerability resulting from a buffer overflow issue in some versions of its music management software “SonicStage” as listed below. We are preparing a software update to correct this issue and will post the update as soon as possible. In the meantime, Sony recommends that SonicStage users do not import m3u playlists unless they come from a trusted source. Using SonicStage simply to purchase music, import content from CDs into a music library, or to manage content libraries and devices will not cause this buffer overflow issue. Sony treats security issues regarding its customers’ software and data very seriously, and we are taking measures to ensure this is resolved as quickly as possible.

Versions of SonicStage covered by this announcement:
SonicStage ver. 4.0/4.1/4.2/4.3

Warten wir also auf das Update ;)

Edit

In Japan ist der Patch bereits erhältlich.


Bei mir hat es ohne Probleme funktioniert (SonicStage 4.3 / XP Prof. SP2).
Unter "?" -> "Info über SonicStage" findet sich nun die Zeile "SonicStage Security Update Program : 1.0.00.11020".

Bild

Download ( 3,11 MB )


* Fragen zu MD / Hi-MD? Nutzt den MD / Hi-MD F.A.Q.
* auf Twitter folgen: @minidiscforum
* Bitte benutzt den Bild-Button, um Posts nachträglich zu editieren.

Benutzeravatar
hi-eric
MD-Fan
MD-Fan
Beiträge: 423
Registriert: Samstag 3. Februar 2007, 22:55

#12 Ungelesener Beitragvon hi-eric » Samstag 8. Dezember 2007, 12:26

okay danke.



Benutzeravatar
Numinos
technischer Administrator
technischer Administrator
Beiträge: 2060
Registriert: Montag 27. Februar 2006, 01:34

Re: SonicStage CP:ernsthaftes Sicherheitsproblem durch Playlists

#13 Ungelesener Beitragvon Numinos » Mittwoch 4. März 2009, 00:07

Wusste gar nicht, dass sich dieser Patch auch auf Nicht-JP Systemen installieren lässt. Aber, gut zu wissen... :wah:

Achja, der Download-Link scheint sich geändert zu haben. Hier der Neue.


~ MiniDisc zu Hause: AKG K601 verstärkt durch Bravo Audio Ocean am Sony MDS-JB930QS mit zuschaltbarem Sony SEQ-411
- sekundär: AKG K240 Monitor 600Ohm verstärkt durch Musical Fidelity V-CAN II am Kenwood DMF-3020
Plattenspieler: Sony PS-LX250H
Kompaktkassetten-Deck: Denon DR-M11


~ MiniDisc mobil: AKG K450 am Sharp MD-DR470 bzw. :himd: mit Sony MZ-RH1/Sony MZ-NH900
- sekundär Sony Vaio Pocket VGF-AP1L


Warum MD? * Ich rette verlorene MD-Aufnahmen! * QHiMDTransfer statt SonicStage


Letzte Profil-Aktualisierung: 11.02.2017


Zurück zu „News“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste