OpenH264-Sicherheitslücke: Schadcode über Videos im Browser
Durch eine Sicherheitslücke in Ciscos Video-Codec OpenH264 können Angreifer Schadcode einschmuggeln. Auch Firefox ist gefährdet.
Manipulierte Videoclips können Opfer Malware unterjubeln.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Der quelloffene Video-Codec OpenH264 ist von einer gravierenden Sicherheitslücke betroffen. Angreifer können sie missbrauchen, um Opfern Schadcode unterzuschieben.
Im Github-Projekt hat Cisco eine Sicherheitsmitteilung dazu veröffentlicht und erörtert darin Details. Angreifer aus dem Netz können ohne vorherige Authentifizierung einen Heap-basierten Pufferüberlauf provozieren. Das geht auf eine Race-Condition bei der Verarbeitung von Videoströmen zurück. Das können Angreifer mit einem sorgsam präparierten Bitstrom – also einer manipulierten Video-Datei – missbrauchen, zu dessen Anzeige sie Opfer lediglich verleiten müssen, um "einen unerwarteten Absturz im Decoding-Client des Opfers auszulösen, und möglicherweise beliebigen Befehle auf dem Rechner des Opfers durch Missbrauch des Überlaufs auszuführen" (CVE-2025-27091, CVSS 8.6, Risiko "hoch").
OpenH264: Alle Modi betroffen
OpenH264 unterstützt Scalable Video Coding (SVC), bei dem Videos mit mehreren Bitraten codiert werden, und den Modus Advanced Video Coding (AVC) für die einzelnen Videoströme. Die Schwachstelle tritt in beiden Modi auf.
Die Schwachstelle betrifft OpenH264 in Version 2.5.0 und älter. Auf Github steht inzwischen Version 2.6.0 bereit, die die Sicherheitslücke nicht mehr enthält.
Videos by heise
Firefox verwundbar
Der Webbrowser Firefox bringt als Fall-Back-Lösung Ciscos OpenH264 seit der Version Firefox 33 – erschienen im Jahr 2014 – mit. Die Mozilla-Stiftung erklärt in einem Support-Beitrag, dass der Codec im Browser dazu dient, auch dann WebRTC-Ströme wie Videoanrufe zu ermöglichen, wenn im Betriebssystem kein H264-Codec verfügbar ist. Als Beispiele nennt Mozilla die Windows-N-Versionen, die ohne derartige Codecs daherkommen, oder Linux-Distributionen wie Ubuntu, die solche Codecs erst aus spezielleren Repositories wie "ubuntu-restricted-extras" nachinstallieren müssen.
(Bild: Screenshot / dmk)
Im Einstellungsmenü findet sich unter "Add-ons und Themes" der Menüpunkt "Plugins". Der Klick auf "OpenH264" ermöglicht Einstellungen und zeigt die aktuell mitgelieferte Version an. Derzeit ist in Firefox 135.0.1 die OpenH264-Version 2.3.2 an Bord, aus dem Juli 2023. Durch Klick auf die drei Punkte rechts von der "OpenH264"-Überschrift können Interessierte jedoch die Option auf "Nie aktivieren" umstellen, bis eine fehlerbereinigte, nicht anfällige Bibliotheksversion für Firefox ausgeliefert wird.
Auf Anfrage von heise online hat Mozilla am Montagabend geantwortet: "Uns ist bekannt, dass das von Firefox verwendete OpenH264-Plugin derzeit veraltet ist. Obwohl wir keine Hinweise darauf haben, dass dies ein Sicherheitsproblem für die Nutzer darstellt, da das Plug-in innerhalb unserer umfangreichen Sandboxing-Mechanismen ausgeführt wird, um die Nutzer in ähnlichen Fällen zu schützen, arbeiten wir an einem Update."
Ohne weitere Informationen wurde das Plug-in in Firefox auf den fehlerkorrigierten Stand 2.6.0 gehoben. Als Datum nennt der Firefox-Browser dafür den 22. März 2025.
(dmk)
