Codeschmuggel durch avi-Dateien in Media Player Classic und MPlayer [Update]

Sowohl im Media Player Classic als auch im MPlayer können Angreifer möglicherweise mit präparierten avi-Dateien Schadcode einschleusen.

In Pocket speichern vorlesen Druckansicht 149 Kommentare lesen
Lesezeit: 3 Min.
Von

Die Code Audit Labs haben eine Sicherheitsmeldung veröffentlicht, der zufolge der Media Player Classic und MPlayer beim Verarbeiten von manipulierten avi-Dateien patzen und Angreifer dadurch fremden Code einschleusen und ausführen könnten. Aktualisierte Software-Versionen gibt es bislang nicht.

Laut der Sicherheitsmeldung haben die Code Audit Labs avi-Dateien mit manipulierten Index-Chunks ausgestattet. Im avi-Containerformat dienen solche optionalen Index-Chunks dazu, einen Index der Daten-Chunks der avi-Datei bereitzustellen – es handelt sich quasi um ein Inhaltsverzeichnis. Die in so einem Index-Chunk gespeichert Werte überprüfen die betroffenen Media-Player offenbar nicht korrekt, wodurch beim Abspielen von sorgsam präparierten avi-Dateien eingeschleuster Schadcode zur Ausführung kommen kann. Laut Sicherheitsmeldung soll dabei ein Pufferüberlauf auf dem Heap auftreten, im Media Player Classic soll darüber hinaus ein Integer-Überlauf möglich sein.

Dem eigenen Bekunden nach haben die Sicherheitsforscher die MPlayer-Entwickler bereits Ende Juli über die Lücke informiert und auch eine Antwort erhalten. Dennoch ist keine neue Version von MPlayer verfügbar, im Versionsverwaltungssystem der Entwickler findet sich auch kein Hinweis auf einen Quellcode-Patch. Der Media Player Classic (MPC), der etwa auch bei der Verarbeitung von FLI-Dateien eingschleusten Code ausführen kann, wird offenbar nicht mehr weiterentwickelt; auf den Sourceforge-Projektseiten stehen immer noch die alten Versionen der Software zum Download bereit. Die Schwachstelle betrifft auch auf MPC basierende Player wie die chinesischen MyMPC oder StormPlayer. Nutzer solcher Programme sollten nach aktualisierten Versionen Ausschau halten, da deren Entwickler im Gegensatz zu Gabest möglicherweise noch aktiv sind.

Beim Media Player Classic können Anwender in den Optionen den verwendeten avi-Parser von intern auf den von Microsoft beim Betriebssystem mitgelieferten Parser umstellen, der die Schwachstellen den Tests der Code Audit Labs zufolge nicht enthält. MPlayer-Nutzer sollten bis zur Verfügbarkeit einer gepatchten Version avi-Dateien aus nicht vertrauenswürdigen Quellen wie P2P-Netzen meiden oder mit anderen Media-Playern abspielen. Ob die Option mplayer -demuxer lavf Abhilfe schafft, durch die MPlayer den libavcodec-avi-Demultiplexer nutzt, ist unbekannt.

Update:

Der MPlayer-Entwickler Reimar Döffinger hat in der Zwischenzeit einen Patch in das Versionsverwaltungssystem eingepflegt, der das Problem beseitigt. Die Linux-Distributoren dürften in Kürze aktualisierte Pakete verteilen, die Anwender einspielen sollten.

Siehe dazu auch:

(dmk)