Mediaplayer Xine lässt sich fremden Code unterjubeln [Update]
Schuld sind zwei Format-String-Schwachstellen, die beim Abspielen von Playlists auftreten und sich durch die Angabe bestimmter Formatierungsanweisungen in den Pfaden zu den Mediadaten ausnutzen lassen.
Einer Meldung auf der Mailingliste Full Disclosure zufolge stecken in der aktuellen Version des beliebten Open-Source-Mediaplayers Xine zwei SicherheitslĂĽcken, ĂĽber die ein Angreifer die Kontrolle ĂĽber den Rechner ĂĽbernehmen kann. Schuld sind zwei Format-String-Schwachstellen, die beim Abspielen von Playlists auftreten und sich durch die Angabe bestimmter Formatierungsanweisungen in den Pfaden zu den Mediadaten ausnutzen lassen. DarĂĽber kann der Angreifer eigenen Maschinencode in das System schleusen und mit den Rechten des Anwenders ausfĂĽhren. Die Fehler finden sich im Xine-Userinterface (xine-ui) in Version 0.99.4 in /src/xitk/main.c in der Funktion print_formatted(). Vorhergehende Versionen sind ebenfalls betroffen.
Ein Patch steht noch nicht zu Verfügung, allerdings sind die Entwickler nach Angaben des Entdeckers der Lücke seit über einem Jahr darüber informiert. Seiner Einschätzung nach sind die Entwickler einfach müde von den Fehlern in Xine, er hoffe aber, dass die Entwickler nun mit einem Update reagieren würden, bevor Anwender angegriffen werden. Bis dahin sollten die Nutzer von Xine keine Remote-Playlists abspielen.
Update
Die LĂĽcke ist nach Angaben der Entwickler im CVS bereits seit August vergangenen Jahres gefixt. Eine neues Release von xine-ui ist in Vorbereitung.
Siehe dazu auch: (dab)
- Xine Media Player Format String Bug, Fehleranalyse von c0ntex
