Kritische Lücke in DivX Web Player geschlossen
Ein Angreifer könnte durch manipulierte DivX-Dateien respektive Streams seinen Code auf ein System schleusen und ausführen. Dazu genügt der Aufruf einer Webseite.
- Daniel Bachfeld
Anwender mit älteren DivX-Software-Versionen sollten sich das neueste DivX-Bundle von den Herstellerseiten herunterladen, um eine Sicherheitslücke zu schließen. Nach Angaben des Sicherheitsdienstleisters Secunia findet sich im DivX Web Player in älteren Versionen ein Fehler in der Verarbeitung von Stream-Format-Chunks, der sich für Heap Overflows ausnutzen lässt. Der DivX Web Player ermöglicht das Abspielen von Filmen direkt im Browser.
Ein Angreifer könnte durch manipulierte DivX-Dateien respektive Streams seinen Code auf ein System schleusen und ausführen. Dazu genügt der Aufruf einer Webseite. In der Version 1.4.3.4 des Players ist der Fehler behoben. Laut Secunia steht die Version schon seit Mitte März zum Download zur Verfügung. Warum der Fehlerbericht aber erst jetzt veröffentlicht wurde, ist unklar.
Um auch ohne Fehlerbericht immer auf dem neuesten Stand zu sein, empfiehlt sich der Einsatz eines so genannten Update-Managers. Damit lassen sich die Stände der installierten Software mit denen der aktuell verfügbaren bequem abgleichen und gegebenenfalls aktualisieren. Neben Secunias Personal Software Inspector bieten sich Tools wie FileHippo und UpdateStar an.
Siehe dazu auch
- DivX Web Player Stream Format Chunk Buffer Overflow, Beschreibung von Secunia
(dab)
