Kritische Schwachstellen in xine-lib geschlossen

Die Entwickler der Multimedia-Bibliothek xine-lib haben in Version 1.1.16.3 zwei Sicherheitslücken geschlossen und weitere Fehler behoben.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Entwickler des freien Mediaplayers Xine haben die dazugehörige Bibliothek xine-lib auf Version 1.1.16.3 aktualisiert, in der eine Sicherheitslücke beseitigt ist. Unter Umständen können Angreifer durch präparierte Quicktime-Filme Code auf ein System schleusen und im Kontext des Anwenders ausführen. Dazu muss das Opfer aber den Film mit einer auf xine-lib basierenden Anwendung öffnen.

Ursache des Problems ist laut Bericht ein Integer Overflow, der sich im Weiteren für einen Heap Overflow ausnutzen lässt. In der neuen Version haben die Entwickler zudem ein weiteres Sicherheitsproblem bei der Typumwandlung während der Verarbeitung von Dateien im proprietären 4X-Movie-Format (4xm) behoben. Diese Lücke wurde zuerst Ende Januar von Tobias Klein in der FFmpeg-Bibliothek entdeckt.

Siehe dazu auch:

  • xine im heise Software-Verzeichnis

(dab)