Deutsch|
EnglishNach der Sicherheitslücke in der Medienbibliothek xine-lib hat Luigi Auriemma nun auch Details über ähnliche Schwachstellen im VLC Mediaplayer und in Apples QuickTime veröffentlicht. VLC verwendet Programmcodes des Xine-Projekts. Hier wie dort kann beim Dekodieren von RTSP-Strömen, aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten und so Schadcode eingeschleust werden. In QuickTime kann es bei der Anzeige von HTTP-Fehlermeldungen zu einem Pufferüberlauf kommen. Stellt ein Angreifer einen Link auf einen RTSP-Server bereit, ohne dass ein Server auf dem Netzwerk-Port 554 zuhört, versucht der Player auf den HTTP-Port 80 zuzugreifen. Dadurch kann der Serverbetreiber mit manipulierten Ausgaben von Fehlermeldungen (z.B.:404 - Page not found) den Pufferüberlauf in der Display-Routine des Programms auslösen. Der Fehler soll sich unter Windows provozieren lassen, konnte aber unter Mac OS X bislang nicht nachgewiesen werden. Noch gibt es keine Updates für die betroffenen Player (VCL in Version 0.8.6d und QickTime 7.3.1.70).
Am 29.02.2008 um 14:40 Uhr
[...] Vom VLC Mediaplayer ist Version 0.8.6e erschienen, die die im Januar entdeckten Sicherheitslecks schließt. Durch präparierte Realtime-Datenströme (RTSP) konnten Angreifer einen Pufferüberlauf auf dem Heap verursachen und so Schadcode einschleusen. Die Ende 2007 bekannt gewordenen Fehler im Untertitel-Demuxer und der Bedienoberfläche wurden ebenfalls behoben. Das Update beseitigt zudem eine Schwachstelle im MP4-Demuxer. Da die Software vor Kopieraktionen einige Tags in den Dateien nicht prüft, können durch maniupulierte MP4-Dateien beliebige Speicherbereiche überschrieben werden. Auch durch diesen Fehler kann fremder Code zur Ausführung gelangen oder ein Absturz des Programms verursacht werden. Daher sollten Anwender schnell auf Version 0.8.6e umsteigen, die zum Download bereit steht. Für Windows gibt es bereits fertig kompilierte Pakete, die Linux-Distributoren dürften bald folgen. [...]