Kritische LĂĽcke in Medienplayern MPlayer und Xine
Mit präparierten Videodateien ist es möglich, Code auf einen PC zu schleusen und zu starten. Ein Patch steht im CVS bereit. Der Linux-Distributor Mandriva hat bereits aktualisierte Pakete herausgegeben.
- Daniel Bachfeld
Der Linux-Distributor Mandriva hat aktualisierte Pakete für den Medienplayer MPlayer ausgeliefert, in denen eine kritische Lücke in Mandriva 2007 und Mandriva Corporate 3.0 geschlossen wird. Mit präparierten Videodateien ist es möglich, Code auf einen PC zu schleusen und zu starten. Dazu muss das Opfer aber eine bösartige Datei auf den Rechner laden und abspielen. Bei der derzeitigen Popularität von Seiten wie YouTube, ClipFish und dergleichen sollte dies einen Angreifer aber vor keine allzu große Hürde stellen. Einen ähnlichen Vorfall gab es bereits im Dezember 2006, bei dem Phisher Passwörter mittels präparierter Quicktime-Videos ausspähten.
Das Problem in MPlayer beruht auf einem Fehler in der Funktion DMO_VideoDecoder im Modul loader/dmo/DMO_VideoDecoder.c, die eine später für eine memcopy-Operation benutzte Variable nicht auf ihre Gültigkeit prüft. In der Folge tritt unter bestimmten Umständen ein Buffer Overflow auf, mit dem sich der Stack überschreiben lässt.
Betroffen sind die Versionen bis einschlieĂźlich MPlayer 1.0rc1. Der Fehler ist seit zwei Wochen im CVS beseitigt, bis in der herunterladbare Version hat er es aber noch nicht geschafft. Die anderen Linux-Distributoren dĂĽrften in KĂĽrze mit eigenen fehlerkorrigierten Paketen nachziehen.
Da Xine und MPlayer teilweise die gleiche Codebasis benutzen, ist Xine ebenfalls verwundbar. Ubuntu hat deshalb neue Pakete der xine-Bibliothek xinelib veröffentlicht. Ein Update für den MPlayer gibt es von Ubuntu nicht, da dieser aus dem Multiverse-Repository stammt. Die Repositories Universe und Multiverse erhalten nämlich keinen vollen Support mit Security-Updates. Diese Problematik hat bereits in der Vergangenheit zu Problemen bei Ubuntu-Anwendern geführt.
Windows-Anwender müssen auf ein offizielles Release warten, alternativ können sie die Quellen aus dem CVS auch selbst übersetzen.
Siehe dazu auch:
- MPlayer DMO buffer overflow, Fehlerbericht von Moritz Jodeit
- Updated mplayer packages to address buffer overflow vulnerability, Fehlerbericht von Mandriva
- xine-lib vulnerability, Fehlerbericht von Ubuntu
(dab)
