ID CVE-2009-4356
Summary Multiple integer overflows in the jpeg.w5s and png.w5s filters in Winamp before 5.57 allow remote attackers to execute arbitrary code via malformed (1) JPEG or (2) PNG data in an MP3 file.
References
Vulnerable Configurations
  • cpe:2.3:a:nullsoft:winamp:0.20a:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:0.20a:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:0.92:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:0.92:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:1.006:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:1.006:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:1.90:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:1.90:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.0:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.4:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.5e:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.5e:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.6:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.6:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.6x:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.6x:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.7x:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.7x:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.9:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.9:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.10:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.10:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.24:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.24:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.50:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.50:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.60:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.60:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.60:*:full:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.60:*:full:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.60:*:lite:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.60:*:lite:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.61:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.61:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.61:*:full:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.61:*:full:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.62:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.62:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.62:*:standard:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.62:*:standard:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.64:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.64:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.64:*:standard:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.64:*:standard:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.65:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.65:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.70:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.70:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.70:*:full:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.70:*:full:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.71:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.71:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.72:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.72:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.73:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.73:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.73:*:full:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.73:*:full:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.74:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.74:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.75:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.75:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.76:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.76:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.77:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.77:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.78:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.78:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.79:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.79:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.80:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.80:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.81:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.81:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.90:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.90:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.91:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.91:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.92:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.92:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:2.95:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:2.95:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:3.0:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:3.1:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.0:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.01:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.01:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.1:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.1:-:surround:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.1:-:surround:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.02:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.02:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.2:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.03:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.03:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.3:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.03a:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.03a:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.04:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.04:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.05:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.05:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.5:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.06:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.06:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.07:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.07:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08:c:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08:c:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08:d:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08:d:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08:e:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08:e:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08c:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08c:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08d:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08d:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.08e:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.08e:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.09:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.09:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.11:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.12:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.13:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.13:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.21:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.21:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.22:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.22:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.23:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.23:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.24:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.24:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.31:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.31:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.32:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.32:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.33:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.33:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.34:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.34:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.35:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.35:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.36:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.36:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.51:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.51:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.52:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.52:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.53:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.53:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.54:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.54:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.55:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.55:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.51:beta:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.51:beta:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.54:beta:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.54:beta:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.55:beta:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.55:beta:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.56:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.56:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.091:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.091:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.093:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.093:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.094:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.094:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.111:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.111:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.112:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.112:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.531:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.531:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.541:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.541:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.551:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.551:*:*:*:*:*:*:*
  • cpe:2.3:a:nullsoft:winamp:5.552:*:*:*:*:*:*:*
    cpe:2.3:a:nullsoft:winamp:5.552:*:*:*:*:*:*:*
CVSS
Base: 9.3 (as of 10-10-2018 - 19:49)
Impact:
Exploitability:
CWE CWE-189
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
COMPLETE COMPLETE COMPLETE
cvss-vector via4 AV:N/AC:M/Au:N/C:C/I:C/A:C
oval via4
accepted 2014-04-07T04:01:59.719-04:00
class vulnerability
contributors
  • name Shane Shaffer
    organization G2, Inc.
  • name Shane Shaffer
    organization G2, Inc.
  • name Maria Mikhno
    organization ALTX-SOFT
definition_extensions
comment Winamp is installed
oval oval:org.mitre.oval:def:6897
description Multiple integer overflows in the jpeg.w5s and png.w5s filters in Winamp before 5.57 allow remote attackers to execute arbitrary code via malformed (1) JPEG or (2) PNG data in an MP3 file.
family windows
id oval:org.mitre.oval:def:15743
status accepted
submitted 2012-07-20T09:18:28.692-04:00
title Multiple integer overflows in the jpeg.w5s and png.w5s filters in Winamp before 5.57
version 8
refmap via4
bid 37387
bugtraq 20091217 VUPEN Security Research - Winamp PNG and JPEG Data Integer Overflow Vulnerabilities
confirm http://forums.winamp.com/showthread.php?threadid=315355
misc http://www.vupen.com/exploits/Winamp_png_w5s_PNG_Data_Processing_Integer_Overflow_PoC_3576274.php
vupen ADV-2009-3576
Last major update 10-10-2018 - 19:49
Published 18-12-2009 - 19:30
Last modified 10-10-2018 - 19:49
Back to Top