Sicherheitsloch in Xine
Durch einen Fehler im freien Multimedia-Player Xine kann ĂĽber eine speziell manipulierte Video-Datei beliebiger Code ausgefĂĽhrt werden.
Durch eine Lücke im freien Multimedia-Player Xine kann über eine speziell manipulierte Video-Datei beliebiger Code ausgeführt werden. Anfällig seien alle Xine-Versionen.
Der Fehler steckt in der Behandlung des "vcd://"-URIs, durch Ăśbergabe von ĂĽberlangen Parametern kommt es zu einem Buffer Overflow, der zum Einschleusen von Code genutzt werden kann. c0ntex, der Entdecker der LĂĽcke, stellt Proof-of-Concept-Code ĂĽber sein Advisory bereit. Zudem empfiehlt er, aufgrund immer wieder auftauchender Schwachstellen in Musik- und Videoplayern, nur Dateien aus vertrauenswĂĽrdigen Quellen abzuspielen. Indes haben die Xine-Entwickler reagiert und stellen eine aktualisierte Version ĂĽber das Software-Repository CVS zur VerfĂĽgung, die den Fehler nicht mehr aufweist.
Siehe dazu auch: (pab)
- Advisory von c0ntex
- Zugang zum CVS von Xine
- CVS-Log von Xine mit Details zum Bug
