Präparierte Skins für Windows DivX-Player überschreiben Dateien
Beim Laden eines Skins entpackt der DivX-Player für Windows sämtliche Dateien in den Windows-Temp-Ordner, prüft allerdings nicht, ob eventuell Pfade angegeben sind.
Präparierte Skins für den DivX Player für Windows können auf dem System des Anwenders beliebige Dateien überschreiben. Darauf weist der Sicherheitsspezialist Luigi Auriemma hin.
Wie bei vielen anderen Anwendungen sind Skins auch bei DivX komprimierte Container, die Bilder und Skripte enthalten. Beim Laden eines Skins entpackt der Player sämtliche Dateien in den Windows-Temp-Ordner, prüft allerdings nicht, ob eventuell Pfade angegeben sind. Durch Voranstellen von "..\..\" lässt sich so eine Datei in andere Verzeichnisse entpacken, in der sie unter Umständen wichtige System-Dateien überschreibt. Ob sich darüber auch etwa Malware in den Autostart-Ordner schreiben lässt, gibt Auriemma nicht an. In seinem Advisory hat er einen Link zu einem Demo-Skin aufgeführt, die allerdings bei ersten Tests in der heise-Security-Redaktion nicht funktionierte. Betroffen sollen alle Versionen bis einschießlich 2.6 sein. Ein Update ist nicht verfügbar.
Update
Auriemma hat nach eigenen Angaben sein Demo-Skin angepasst, um sicherzustellen, dass die Datei auch in das geplante Verzeichnis geschrieben wird. In der vorherigen Version landete die Datei unter Umständen im falschen Ordner.
Siehe dazu auch: (dab)
- Arbitrary files overwriting through skins von Luigi Auriemma
