Update von xine-lib schließt Sicherheitslücken
Die Entwickler der Medienbibliothek xine-lib schließen in einer aktualisierten Version Sicherheitslücken, durch die Angreifer Schadcode einschleusen konnten.
Mit aktualisierten Versionen schließen die Entwickler der Medienbibliothek xine-lib Schwachstellen in der Software. Angreifer konnten Anwendern zuvor mit manipulierten Datenströmen oder MPEG-Dateien beliebigen Programmcode unterschieben.
In Version 1.1.9.1 haben die Entwickler eine kürzlich bekannt gewordene Schwachstelle beim Streaming mit dem Realtime-Streaming-Protokoll (RTSP) behoben. Die jetzt veröffentlichte Version 1.1.10 behebt einen weiteren Fehler beim Verarbeiten präparierter MPEG-Dateien, der ebenfalls zur Ausführung eingeschleusten Schadcodes führen konnte. Dieser Fehler betraf ursprünglich die xine-lib 1.1.1 und wurde bereits behoben, die Entwickler haben ihn im Laufe der Weiterentwicklung aber wieder eingeführt.
Die neuen Versionen beheben zudem weitere Fehler, die beispielsweise zu Störungen bei der Tonausgabe führen konnten. Quellcode-Pakete der aktualisierten Fassungen für Selbstkompilierer stehen auf den Projektseiten zum Download bereit. Die Linux-Distributoren dürften in Kürze neue Pakete ausliefern. Nutzer der Software sollten sie bei Verfügbarkeit umgehend einspielen.
Siehe dazu auch:
- Changelog zur xine-lib-Version 1.1.10
- Changelog zur xine-lib-Version 1.1.9.1
- CVE-Eintrag zum Fehler beim Verarbeiten von präparierten MPEG-Dateien
- Medienbibliothek xine-lib patzt beim Streamen, Meldung von heise Security
(dmk)
