Auch Sicherheitslücken in QuickTime und VLC
Auch in QuickTime und im VLC Mediaplayer können Sicherheitslücken dazu führen, dass Angreifer mit manipulierten Echtzeit-Datenströmen das System kompromittieren.
Nachdem Luigi Auriemma bereits eine Sicherheitslücke in der xine-lib beim Verarbeiten von RTSP-Datenströmen entdeckt hat [1], veröffentlichte er nun auch Details über Schwachstellen im VLC Mediaplayer und in Apples QuickTime. Auch bei diesen Playern können Angreifer mit manipulierten RTSP-Datenströmen fremden Code einschleusen und ausführen.
Das VLC-Projekt hat Programmcode aus dem Xine-Projekt übernommen, in dem beim Dekodieren von RTSP-Strömen aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten kann. Der Fehler befindet sich in der Datei modules/access/rtsp/real_sdpplin.c.
In QuickTime kann bei der Anzeige von HTTP-Fehlermeldungen ein Pufferüberlauf auftreten. Der Fehler soll sich in QuickTime unter Windows provozieren lassen, indem ein Angreifer einen Link auf einen RTSP-Server bereitstellt, ohne dass ein Server auf dem Netzwerk-Port 554 lauschen würde. QuickTime versucht laut Auriemma in so einem Fall, auf den HTTP-Port 80 zuzugreifen, wobei der Serverbetreiber dann mit manipulierten Ausgaben von Fehlermeldungen wie 404 - Page not found den Pufferüberlauf in der Display-Routine von QuickTime auslösen kann. Unter Mac OS X konnte der Fehler bislang aber noch nicht nachvollzogen werden.
Für beide Player – betroffen sind die aktuellen Versionen 7.3.1.70 von QuickTime beziehungsweise 0.8.6d von VLC – steht derzeit keine fehlerbereinigte Version bereit. Damit sind zwei der drei beispielsweise in der Mediathek des ZDF [2] überhaupt benutzbaren Mediaplayer für Angriffe anfällig. Dort kann man daher derzeit lediglich den Windows Media Player mit ruhigem Gewissen nutzen.
Siehe dazu auch:
- Sicherheitsmeldung über die Schwachstelle im VLC Mediaplayer [3] von Luigi Auriemma
- Fehlerbericht über das Sicherheitsleck in QuickTime [4] von Auriemma
- Medienbibliothek xine-lib patzt beim Streamen [5], Meldung von heise Security
(dmk [6])
URL dieses Artikels:
https://www.heise.de/-177681
Links in diesem Artikel:
[1] https://www.heise.de/news/Medienbibliothek-xine-lib-patzt-beim-Streamen-177356.html
[2] http://www.zdf.de/
[3] http://aluigi.altervista.org/adv/vlcxhof-adv.txt
[4] http://aluigi.altervista.org/adv/quicktimebof-adv.txt
[5] https://www.heise.de/news/Medienbibliothek-xine-lib-patzt-beim-Streamen-177356.html
[6] mailto:dmk@heise.de
Copyright © 2008 Heise Medien