BUGTRAQID:5170

　　NullsoftWinamp是一款支持MP3和其他多种文件类型的播放器，可使用在Windows操作系统下。

　　NullsoftWinamp在自动检查软件升级版本时对返回的响应缺少正确的检查，远程者可以利用这个漏洞进行缓冲区溢出。

　　http192.168.1.2NullsoftWinamp有一个默认的选项，会在启动时自动从站点上检查是否存在新的版本，然后通过消息框通知用户是否需要升级。NullsoftWinamp对返回的应答缺少正确的处理，远程者可以伪造的应答，发送超大的应答消息，在解析数据的时候可导致进入无限循环，直至调用异常处理程序。精心构建应答数据可导致可能以winamp进程的权限在系统上执行任意指令。

　　通过DNS缓冲毒药方法，者可以控制的解析来利用这个漏洞进行。

　　临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS您采取以下措施以降低：

　　暂时没有合适的临时解决方法。

　　厂商补丁：

　　Nullsoft

　　--------

　　目前厂商还没有提供补丁或者升级程序，我们使用此软件的用户随时关注厂商的主页以获取最新版本：