GNUnets libextractor lässt sich Code unterjubeln
Die libextractor-Bibliothek aus GNUnet ist beim Verarbeiten von asf- und qt-Dateien anfällig für einen Pufferüberlauf.
Die libextractor-Bibliothek des GNUnet-Projekts, das sich anonymen Peer-to-Peer-Netzen widmet, lässt sich aufgrund fehlerhafter Programmierung der Verarbeitungsmodule für asf- und qt-Dateien Schadcode unterjubeln. libextractor dient zum Auslesen von Metadaten aus Dateien.
Mit manipulierten Dateien könnten Angreifer in der Bibliothek einen Heap-basierten Pufferüberlauf auslösen (siehe auch den Hintergrundartikel Ein Haufen Risiko auf heise Security). Der Entdecker der Schwachstellen, Luigi Auriemma, verlinkt in seiner Sicherheitsmeldung einen Proof-of-Concept-Exploit, der die Sicherheitslücke demonstriert. Nutzer von libextractor sollten auf die Version 0.5.14 aktualisieren; für Windows steht noch keine neue Version bereit.
Siehe dazu auch: (dmk)
- Download der fehlerbereinigten libextractor 0.5.14
- Sicherheitsmeldung von Luigi Auriemma