Update schließt kritische Lücken in Xine-Bibliothek
In den xine-lib-Versionen vor 1.1.3 ist eine Sicherheitslücke enthalten, die es Angreifer ermöglichen könnte, Schädlinge über Mediadateien auf den Rechner zu schleusen.
- Daniel Bachfeld
Anwender des Open-Source-Mediaplayers Xine sollten ihre Programmbibliotheken aktualisieren: In den xine-lib-Versionen vor 1.1.3 ist eine Sicherheitslücke enthalten, die es Angreifern ermöglichen könnte, Schädlinge über Mediadateien auf den Rechner zu schleusen. Neben Xine nutzen auch andere Player diese Bibliotheken. Die Lücke findet sich in der Funktion asmrp_eval des Real-Media-Input-Plug-ins (src/input/libreal/real.c) und beruht auf einem Buffer Overflow, der durch zu viele Einträge im Rulebook eines Streams provoziert wird. Ein Rulebook enthält etwa Daten über zu verwendende Filter beim Abspielen et cetera. Ein Server könnte präparierte Rulebooks an einen Client senden.
Zudem ist in der aktualisierten Fassung der xine-libs eine ältere Lücke in der Bibliothek libmms zur Verarbeitung von Microsofts Streaming-Protocol geschlossen. Auch diese ermöglichte das Einschleusen und Ausführen von Code. Der Linux-Distributor Ubuntu gibt bereits fehlerbereinigte Paket heraus, andere Anbieter dürften demnächst folgen.
Siehe dazu auch:
- Probably buffer overrun exploit in Real Media input plugin, Fehlerbericht auf SourceForge
(dab)
