Sicherheitslücke bei der Medienbibliothek xine-lib

Die am Sonntag veröffentlichte Version 1.1.9 der freien Medienbibliothek xine-lib enthält eine Schwachstelle im Realtime-Streaming-Protokoll (RTSP), wie Luigi Auriemma meldet. Die Funktion rmff_dump_header() in der Datei input/libreal/rmff.c berücksichtigt beim Streamen nicht die Headerlänge, so dass ein Puffer auf dem Heap überlaufen kann. Dadurch kann eingeschleuster Schadcode zur Ausführung kommen. Auch die auf xine-lib basierenden Media-Player, z.B. totem oder kaffeine sind von dem Fehler betroffen. Das mplayer-Projekt nutzt ebenfalls die betroffene Datei, deren Entwickler haben jedoch Längenprüfungen eingebaut. Bis ein Update der Software erscheint, sollten Anwender der Medienbibliothek keine RTSP-Datenströme öffnen.

0 Kommentar(e)

Zum Posten von Kommentaren bitte