Sicherheitslücken in Video-Player Xine
Nicht nur das Betrachten von präparierten Bildern unter Unix und Windows kann mittlerweile die Sicherheit eines Systems gefährden. Präparierte VideoCDs und DVDs können Fehler in Xine zum Einschleusen von Code ausnutzen.
Nicht nur das Betrachten von präparierten Bildern unter Unix und Windows kann mittlerweile die Sicherheit eines Systems gefährden. Auch DVDs und VideoCDs sind prinzipiell geeignet, Fehler in Software-Video-Playern auszunutzen, um PCs mit Malware zu infizieren. Daher haben die Entwickler des freien Video-Players Xine die neue Bibliothek xine-lib 1-rc6a herausgegeben, die genau fünf solcher Möglichkeiten in ihrem Produkt beseitigt.
Allein drei Buffer Overflows im VCD-Modul hat man ausgemerzt. Bei einem reichte dazu schon das Lesen des Disc-Labels nach dem Einlegen der CD aus, um Code in ein System zu schleusen. Ein Fehler war bereits seit Mitte August öffentlich bekannt, für den auch schon ein Patch verfügbar war. Zusätzlich hat man eine weitere Lücke im DVD-Subpicture-Decoder gestopft: Manipulierte DVDs provozieren nun keinen Heap Overflow mehr.
Siehe dazu auch: (dab)
- Heap overflow with some DVD subpictures von Michael Roitzsch
- Stack overflows in the VCD plugin von Michael Roitzsch
