In de rootkit die Sony gebruikt bij de DRM-XCP Copy Protection zijn sporen van Open Source programma’s gevonden zoals lame en mpg321. Volgens een advocaat zou het hierdoor (met name door de licentie die bij die open source software hoort) mogelijk zijn voor de makers van deze programma’s om te eisen dat ook de broncode v/d rootkit openbaar gemaakt wordt. http://www.webwereld.nl/articles/38332
Als je trouwens dacht dat die rootkit technologie slecht was, de end user license agreement (EULA) bij de cd is nog veel erger:
http://www.eff.org/deeplinks/archives/004145.php
(De worden slecht en erger kunnen trouwens net zo goed vervangen worden door komisch en hilarisch).
De uninstaller die Sony achteraf onder mediadruk beschikbaar heeft gesteld schijnt trouwens ook een drama te zijn. Het werkt op basis van ActiveX en laat ladingen methodes achter nadat het zijn werk heeft gedaan:
Muzzy’s research about Sony’s XCP DRM system
Sony you dont reeeeaaaally want to uninstall, do you?
Op zijn minst opvallend te noemen is de reactie van Thomas Hesse, President Global Digital Business, Sony BMG over de rootkit:“Most people don’t even know what a rootkit is, so why should they care about it?”
In een reactie op Security.nl vergleek iemand die uitspraak met: “Dat heeft wat weg van een chirurg die stelt dat, omdat de meeste mensen niet weten wat stafylokokken zijn, hij zonder bezwaar in een open buikwond kan niezen…”
Mocht je binnenkort een buikoperatie ondergaan en het risico niet willen nemen dat de chirurg in kwestie gelijksoortige opvattingen erop nahoudt als de man van Sony: Wikipedia over Stafylokokken
Als je wilt checken of je een cd hebt met Sony’s XCP of in de winkel wilt controleren voordat je een Sony cd koopt, let dan op de achterkant op deze tekst: http://cp.sonybmg.com/xcp, in kleine letters helemaal onderaan. De Electronic Frontier Foundation heeft een Spotters Guide gepubliceerd op haar website.
Update!!
Het antivirus bedrijf F-Secure meldt net op hun weblog:
If you have already used the ActiveX uninstaller that was available until Sony stopped distributing it, you are vulnerable to a remote code execution attack. You should remove the vulnerable ActiveX component. If you want, set a kill-bit for it (the CLSID is {4EA7C4C5-C5C0-4F5C-A008-8293505F71CC}) just to be sure.