Kritische Schwachstellen in xine-lib geschlossen
Die Entwickler der Multimedia-Bibliothek xine-lib haben in Version 1.1.16.3 zwei Sicherheitslücken geschlossen und weitere Fehler behoben.
- Daniel Bachfeld
Die Entwickler des freien Mediaplayers Xine haben die dazugehörige Bibliothek xine-lib auf Version 1.1.16.3 aktualisiert, in der eine Sicherheitslücke beseitigt ist. Unter Umständen können Angreifer durch präparierte Quicktime-Filme Code auf ein System schleusen und im Kontext des Anwenders ausführen. Dazu muss das Opfer aber den Film mit einer auf xine-lib basierenden Anwendung öffnen.
Ursache des Problems ist laut Bericht ein Integer Overflow, der sich im Weiteren für einen Heap Overflow ausnutzen lässt. In der neuen Version haben die Entwickler zudem ein weiteres Sicherheitsproblem bei der Typumwandlung während der Verarbeitung von Dateien im proprietären 4X-Movie-Format (4xm) behoben. Diese Lücke wurde zuerst Ende Januar von Tobias Klein in der FFmpeg-Bibliothek entdeckt.
Siehe dazu auch:
- ine-lib Quicktime STTS Atom Integer Overflow, Bericht von Tobias Klein
- xine-lib Quicktime STTS Atom Integer Overflow, Eintrag in Xine-Fehlerdatenbank
- Sicherheitslücke in FFmpeg-Bibliothek, Bericht auf heise Security
- xine im heise Software-Verzeichnis
(dab)