VCL Mediaplayer und Apple QuickTime ebenfalls mit Sicherheitslücken

Nach der Sicherheitslücke in der Medienbibliothek xine-lib hat Luigi Auriemma nun auch Details über ähnliche Schwachstellen im VLC Mediaplayer und in Apples QuickTime veröffentlicht. VLC verwendet Programmcodes des Xine-Projekts. Hier wie dort kann beim Dekodieren von RTSP-Strömen, aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten und so Schadcode eingeschleust werden. In QuickTime kann es bei der Anzeige von HTTP-Fehlermeldungen zu einem Pufferüberlauf kommen. Stellt ein Angreifer einen Link auf einen RTSP-Server bereit, ohne dass ein Server auf dem Netzwerk-Port 554 zuhört, versucht der Player auf den HTTP-Port 80 zuzugreifen. Dadurch kann der Serverbetreiber mit manipulierten Ausgaben von Fehlermeldungen (z.B.:404 - Page not found) den Pufferüberlauf in der Display-Routine des Programms auslösen. Der Fehler soll sich unter Windows provozieren lassen, konnte aber unter Mac OS X bislang nicht nachgewiesen werden. Noch gibt es keine Updates für die betroffenen Player (VCL in Version 0.8.6d und QickTime 7.3.1.70).

0 Kommentar(e)

Zum Posten von Kommentaren bitte