Auch Sicherheitslücken in QuickTime und VLC

Nachdem Luigi Auriemma bereits eine Sicherheitslücke in der xine-lib beim Verarbeiten von RTSP-Datenströmen entdeckt hat, veröffentlichte er nun auch Details über Schwachstellen im VLC Mediaplayer und in Apples QuickTime. Auch bei diesen Playern können Angreifer mit manipulierten RTSP-Datenströmen fremden Code einschleusen und ausführen.

Das VLC-Projekt hat Programmcode aus dem Xine-Projekt übernommen, in dem beim Dekodieren von RTSP-Strömen aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten kann. Der Fehler befindet sich in der Datei modules/access/rtsp/real_sdpplin.c.

In QuickTime kann bei der Anzeige von HTTP-Fehlermeldungen ein Pufferüberlauf auftreten. Der Fehler soll sich in QuickTime unter Windows provozieren lassen, indem ein Angreifer einen Link auf einen RTSP-Server bereitstellt, ohne dass ein Server auf dem Netzwerk-Port 554 lauschen würde. QuickTime versucht laut Auriemma in so einem Fall, auf den HTTP-Port 80 zuzugreifen, wobei der Serverbetreiber dann mit manipulierten Ausgaben von Fehlermeldungen wie 404 - Page not found den Pufferüberlauf in der Display-Routine von QuickTime auslösen kann. Unter Mac OS X konnte der Fehler bislang aber noch nicht nachvollzogen werden.

Für beide Player – betroffen sind die aktuellen Versionen 7.3.1.70 von QuickTime beziehungsweise 0.8.6d von VLC – steht derzeit keine fehlerbereinigte Version bereit. Damit sind zwei der drei beispielsweise in der Mediathek des ZDF überhaupt benutzbaren Mediaplayer für Angriffe anfällig. Dort kann man daher derzeit lediglich den Windows Media Player mit ruhigem Gewissen nutzen.

Siehe dazu auch:

• Sicherheitsmeldung über die Schwachstelle im VLC Mediaplayer von Luigi Auriemma
• Fehlerbericht über das Sicherheitsleck in QuickTime von Auriemma
• Medienbibliothek xine-lib patzt beim Streamen, Meldung von heise Security

(dmk)